NSX 62 Cross VC Install

Gua de instalacin de Cross-vCenter
NSX
NSX for vSphere 6.2
Este documento admite la versin de todos los productos

enumerados y admite todas las versiones posteriores
hasta que el documento se reemplace por una edicin
nueva. Para buscar ediciones ms recientes de este
documento, consulte
http://www.vmware.com/es/support/pubs.
ES-001544-02
Gua de instalacin de Cross-vCenter NSX
Puede encontrar la documentacin tcnica ms actualizada en el sitio web de WMware en:

http://www.vmware.com/es/support/
En el sitio web de VMware tambin estn disponibles las ltimas actualizaciones del producto.
Si tiene algn comentario sobre esta documentacin, envelo a la siguiente direccin de correo electrnico:
docfeedback@vmware.com
Copyright 2010 2016 VMware, Inc. Todos los derechos reservados. Copyright e informacin de marca registrada.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
VMware, Inc.
Paseo de la Castellana 141. Planta 8.
28046 Madrid.
Tel.:+ 34 91 418 58 01
Fax: + 34 91 418 50 55
www.vmware.com/es
VMware, Inc.
Contenido
1 Gua de instalacin de Cross-vCenter 5

2 Descripcin general de NSX 7
Componentes de NSX
NSX Edge 11
NSX Services 13
3 Descripcin general de Cross-vCenter Networking and Security 15

Beneficios de Cross-vCenter NSX 15
Cmo funciona Cross-vCenter NSX 16
Matriz de compatibilidad de NSX Services en Cross-vCenter NSX 17
Clster de controladoras universal 18
Zona de transporte universal 18
Conmutadores lgicos universales 19
Enrutadores lgicos (distribuidos) universales 19
Reglas de firewall universal 19
Objetos de seguridad y red universal 20
Topologas de Cross-vCenter NSX 20
Modificar los roles de NSX Manager 23
4 Preparar para la instalacin 25
Requisitos del sistema para NSX 25

Puertos y protocolos requeridos por NSX 27
Conmutadores distribuidos de vSphere y NSX 29
Ejemplo: Trabajar con un conmutador distribuido de vSphere 31
Topologa de ejemplo y flujo de trabajo de instalacin de NSX 38
Cross-vCenter NSX y Enhanced Linked Mode 40
5 Tareas para las instancias de NSX Manager principales y secundarias 41

Instalar NSX Manager Virtual Appliance 41
Configurar Single Sign-On 46
Registrar vCenter Server con NSX Manager 47
Especificar un servidor syslog 51
Instalar y asignar licencia de NSX for vSphere 52
Excluir las mquinas virtuales de la proteccin de firewall
53
6 Configurar la instancia principal de NSX Manager 55
Implementar NSX Controller en la instancia de NSX Manager principal 55

Preparar hosts en la instancia de NSX Manager principal 60
Configurar VXLAN desde la instancia principal de NSX Manager 64
Asignar un grupo de identificadores de segmentos a la instancia de NSX Manager principal 67
VMware, Inc.
Asignar rol principal a NSX Manager
70
Asignar un grupo de identificadores de segmentos universales en la instancia de NSX Manager

principal 71
Agregar una zona de transporte universal en la instancia de NSX Manager principal 72
Agregar un conmutador lgico universal en la instancia de NSX Manager principal 73
Conectar mquinas virtuales a un conmutador lgico 75
Agregar un enrutador lgico (distribuido) universal en la instancia de NSX Manager principal 75
7 Configurar instancias secundarias de NSX Manager 87
Agregar una instancia de NSX Manager secundaria 87

Preparar hosts en una instancia de NSX Manager secundaria 89
Configurar VXLAN desde la instancia de NSX Manager secundaria 90
Asignar un grupo de identificadores de segmentos a una instancia de NSX Manager secundaria 92
Agregar clsteres a la zona de transporte universal 93
8 Despus de configurar las instancias de NSX Manager primaria y secundaria 95

Agregar una zona de transporte 95
Agregar un conmutador lgico 99
Agregar un enrutador lgico (distribuido) 105
Agregar una puerta de enlace de servicios Edge 117
Agregar un host a un clster preparado 127
Quitar un host de un clster NSX preparado 127
9 Desinstalar componentes de NSX 129
Desinstalar un enrutador lgico distribuido o una puerta de enlace de servicios NSX Edge 129
Desinstalar un conmutador lgico 129
Quitar una instalacin de NSX de forma segura 130
ndice 139
VMware, Inc.
Gua de instalacin de Cross-vCenter
En este manual se describe cmo instalar el entorno de Cross-vCenter NSX. La informacin incluye
instrucciones de configuracin paso a paso y prcticas recomendadas.
Pblico objetivo
Este manual est dirigido a quien desee instalar Cross-vCenter NSX. La informacin de este manual est
escrita para administradores de sistemas con experiencia que estn familiarizados con la tecnologa de
mquinas virtuales y con operaciones de centros de datos. En este manual se da por sentado que el usuario
est familiarizado con VMware Infrastructure 4.x, incluidos VMware ESX, vCenter Server y vSphere Client.
Glosario de publicaciones tcnicas de VMware

Publicaciones tcnicas de VMware proporciona un glosario de trminos que podran resultarle
desconocidos. Si desea ver las definiciones de los trminos que se utilizan en la documentacin tcnica de
VMware, acceda a la pgina http://www.vmware.com/support/pubs.
VMware, Inc.
VMware, Inc.
Descripcin general de NSX
Las organizaciones de TI han obtenido beneficios importantes como resultado directo de la virtualizacin de
servidores. La consolidacin de servidores redujo la complejidad fsica, aument la eficiencia operativa y la
capacidad de reasignar dinmicamente los recursos subyacentes para cumplir, de forma rpida y ptima,
con las necesidades de las aplicaciones empresariales cada vez ms dinmicas.
La arquitectura del centro de datos definido por software (SDDC) de VMware ahora extiende las tecnologas
de virtualizacin a toda la infraestructura del centro de datos fsico. VMware NSX , la plataforma de
virtualizacin de red, es un producto clave de la arquitectura de SDDC. Con NSX, la virtualizacin aporta a
las redes lo que ya se ofrece en trminos de capacidad informtica y almacenamiento. De modo muy similar
en que la virtualizacin del servidor crea, elimina, restaura de forma programtica y crea instantneas de
mquinas virtuales basadas en software, la virtualizacin de red de NSX crea, elimina, restaura y crea
instantneas de redes virtuales basadas en software. El resultado es un enfoque de redes completamente
transformador que no solo permite que los administradores del centro de datos alcancen muchsima mayor
agilidad y mejor economa, sino que tambin permite la implementacin de un modelo operativo muy
simplificado para la red fsica subyacente. Gracias a que se puede implementar en cualquier red IP, incluidos
los modelos de redes tradicionales existentes y las arquitecturas de tejido de ltima generacin de cualquier
proveedor, NSX es una solucin que no provoca interrupciones. En efecto, con NSX, la infraestructura de
red fsica existente es todo lo que se necesita para implementar un centro de datos definido por software.
Aplicacin
Carga de trabajo
Servicio de red de Capa 2,

Capa 3, Capas 4-7
Entorno x86
Mquina
virtual
Mquina
virtual
Red
virtual
Mquina
virtual
Hipervisor del servidor
Desacoplado
Requisito: x86
Memoria y recursos informticos fsicos
VMware, Inc.
Carga de trabajo
Carga de trabajo
Aplicacin
Aplicacin
Red
virtual
Red
virtual
Plataforma de virtualizacin de red

Requisito: transporte de IP
Red fsica
La imagen de arriba establece una analoga entre la virtualizacin informtica y de red. Con la virtualizacin
del servidor, una capa de abstraccin de software (hipervisor de servidor) reproduce los atributos conocidos
de un servidor fsico x86 (por ejemplo, CPU, RAM, disco, NIC) en el software; de este modo, esos atributos
pueden ensamblarse programticamente en cualquier combinacin arbitraria para producir una nica
mquina virtual en cuestin de segundos.
Con la virtualizacin de red, el equivalente funcional de un hipervisor de red reproduce en el software el
conjunto completo de servicios de red de Capa 2 a Capa 7 (por ejemplo, conmutacin, enrutamiento, control
de acceso, proteccin de firewall, calidad de servicio [QoS] y equilibrio de carga). Como consecuencia, estos
servicios pueden ensamblarse programticamente en cualquier combinacin arbitraria, para producir redes
virtuales nicas y aisladas en cuestin de segundos.
Con la virtualizacin de red se obtienen beneficios similares a los que ofrece la virtualizacin del servidor.
Por ejemplo, as como las mquinas virtuales son independientes de la plataforma x86 subyacente y
permiten que TI trate los hosts fsicos como un grupo con capacidad informtica, las redes virtuales son
independientes del hardware de red IP subyacente y permiten que TI trate la red fsica como un grupo con
capacidad de transporte que puede consumirse y reasignarse a peticin. A diferencia de las arquitecturas
heredadas, las redes virtuales pueden aprovisionarse, cambiarse, almacenarse, eliminarse y restaurarse de
forma programtica sin volver a configurar la topologa o el hardware fsico subyacente. Al combinar las
capacidades y los beneficios que ofrecen las soluciones conocidas de virtualizacin de almacenamiento y del
servidor, este enfoque de redes transformador despliega todo el potencial del centro de datos definido por
software.
NSX puede configurarse mediante vSphere Web Client, una interfaz de lnea de comandos (CLI) y una API
de REST.
Este captulo cubre los siguientes temas:
n
Componentes de NSX, pgina 8
NSX Edge, pgina 11
NSX Services, pgina 13
Componentes de NSX
En esta seccin se describen los componentes de la solucin NSX.
CMP
Consumo
NSX Manager
Plano
de administracin
NSX Controller
Plano de control
estado de tiempo de ejecucin
NSX Edge
Plano de datos NSX vSwitch

vDS
VXLAN
Enrutador
lgico distribuido
Firewall
Mdulos de extensin del hipervisor
VMware, Inc.
Captulo 2 Descripcin general de NSX
Tenga en cuenta que Cloud Management Platform (CMP) no es un componente de NSX, pero NSX
proporciona la integracin con casi cualquier CMP a travs de la API de REST y la integracin inmediata
con las CMP de VMware.
Plano de datos
El plano de datos de NSX consiste en NSX vSwitch, que se basa en vSphere Distributed Switch (VDS) con
otros componentes que permiten habilitar servicios. Los mdulos de kernel de NSX, los agentes de espacio
de usuarios, los archivos de configuracin y los scripts de instalacin estn empaquetados en VIB y se
ejecutan dentro del kernel del hipervisor a fin de proveer servicios, como el enrutamiento distribuido y el
firewall lgico, y habilitar capacidades de puente con VXLAN.
NSX vSwitch (basado en VDS) abstrae la red fsica y proporciona conmutacin en el hipervisor en el nivel de
acceso. Es fundamental para la virtualizacin de red, ya que habilita redes lgicas que son independientes
de las construcciones fsicas, como las VLAN. Algunos de los beneficios de vSwitch son los siguientes:
n
Compatibilidad con redes de superposicin con protocolos (como VXLAN) y configuracin de red
centralizada Las redes de superposicin habilitan las siguientes capacidades:
n
Uso reducido de identificadores de VLAN en la red fsica
Creacin de una superposicin de Capa 2 (L2) lgica flexible en las redes IP existentes de la
infraestructura fsica existente sin que sea necesario volver a establecer la arquitectura de las redes
del centro de datos
Aprovisionamiento de comunicacin (Este-Oeste y Norte-Sur) a la vez que se mantiene el

aislamiento entre las empresas
Cargas de trabajo y mquinas virtuales de aplicaciones que son independientes de la red de

superposicin y funcionan como si estuvieran conectadas a una red fsica de Capa 2
Escala masiva facilitada de hipervisores
Varias caractersticas, como la creacin de reflejo del puerto, NetFlow/IPFIX, la restauracin y la copia
de seguridad de la configuracin, la comprobacin del estado de red y la calidad de servicio (QoS) y
LACP, proporcionan un kit de herramientas integral para la administracin del trfico, la supervisin y
la solucin de problemas de una red virtual
Los enrutadores lgicos pueden proporcionar un puente de Capa 2 desde el espacio de red lgica (VXLAN)
hasta la red fsica (VLAN).
El dispositivo de puerta de enlace generalmente es un dispositivo virtual NSX Edge. NSX Edge ofrece
servicios de Capa 2 y Capa 3, firewall perimetral, equilibrio de carga y otros, como SSL VPN y DHCP.
Plano de control
El plano de control de NSX se ejecuta en el clster de NSX Controller. NSX Controller es un sistema de
administracin de estado avanzado que proporciona funciones en el plano de control para el enrutamiento y
la conmutacin lgica de NSX. Es el punto de control central para todos los conmutadores lgicos de una
red, adems de que conserva la informacin de todos los hosts, conmutadores lgicos (VXLAN) y
enrutadores lgicos distribuidos.
El clster de controladoras se encarga de administrar los mdulos de conmutacin y enrutamiento
distribuido de los hipervisores. Por la controladora no pasa ningn trfico del plano de datos. Los nodos de
controladora se implementan en un clster de tres miembros para habilitar la escala y la alta disponibilidad.
Cualquier error en los nodos no afecta el trfico del plano de datos.
NSX Controller funciona distribuyendo la informacin de red a los hosts. A fin de alcanzar un alto nivel de
resiliencia, NSX Controller se integra en un clster para ofrecer escalabilidad horizontal y HA. NSX
Controller debe implementarse en un clster de tres nodos. Los tres dispositivos virtuales proporcionan,
mantienen y actualizan el estado de funcionamiento de las redes del dominio NSX. Se utiliza NSX Manager
para implementar los nodos de NSX Controller.
VMware, Inc.
Los tres nodos de NSX Controller forman un clster de control. El clster de controladoras requiere curum
(tambin llamado mayora) para poder evitar una situacin de "cerebro dividido". En ese tipo de situaciones,
las incoherencias de datos surgen del mantenimiento de dos conjuntos de datos distintos que se
superponen. Las inconsistencias pueden deberse a condiciones de error y a problemas con la sincronizacin
de datos. Al tener tres nodos de controladora se garantiza la redundancia de datos en caso de que ocurra un
error en un nodo de NSX Controller.
Un clster de controladoras tiene varias funciones, entre ellas:
n
Proveedor de API
Servidor de persistencia
Administrador de conmutadores
Administrador lgico
Servidor de directorio
A cada funcin le corresponde un nodo de controladora maestro. Si se producen errores en un nodo de

controladora maestro para un rol, el clster elige un nuevo nodo maestro para ese rol entre los nodos
disponibles de NSX Controller. El nuevo nodo maestro de NSX Controller para ese rol vuelve a asignar las
porciones perdidas de trabajo entre los nodos de NSX Controller restantes.
NSX admite tres modos para el plano de control de conmutadores lgicos: multidifusin, unidifusin e
hbrido. Al utilizar un clster de controladoras para administrar los conmutadores lgicos basados en
VXLAN deja de ser necesaria la compatibilidad de multidifusin de la infraestructura de red fsica. No es
necesario proporcionar direcciones IP para un grupo de multidifusin ni habilitar las caractersticas de
enrutamiento de PMI o de intromisin de IGMP en los enrutadores o los conmutadores fsicos. Por lo tanto,
los modos hbrido y de unidifusin desacoplan a NSX de la red fsica. Las VXLAN que estn en el modo de
unidifusin del plano de control no requieren que la red fsica admita la multidifusin para poder
administrar el trfico de difusin, de unidifusin desconocida y de multidifusin (BUM) dentro de un
conmutador lgico. El modo de unidifusin replica todo el trfico BUM localmente en el host y no requiere
la configuracin de la red fsica. En el modo hbrido, parte de la replicacin del trfico BUM se descarga en
el conmutador fsico del primer salto para lograr un mejor rendimiento. El modo hbrido requiere la
intromisin de IGMP en el conmutador del primer salto y el acceso a un solicitante de IGMP en cada subred
de VTEP.
Plano de administracin
La creacin del plano de administracin de NSX se realiza mediante NSX Manager, el componente de
administracin de red centralizada de NSX. Proporciona el nico punto de configuracin y los puntos de
entrada de la API de REST.
NSX Manager se instala como dispositivo virtual en cualquier host ESX del entorno de vCenter Server.
NSX Manager y vCenter tienen una relacin uno a uno. Para cada instancia de NSX Manager, hay una de
vCenter Server. Esto es cierto incluso en un entorno de Cross-vCenter NSX.
En un entorno de Cross-vCenter NSX, hay una instancia principal de NSX Manager y una o ms instancias
secundarias de NSX Manager. La instancia principal de NSX Manager permite crear y administrar
conmutadores lgicos universales, enrutadores lgicos (distribuidos) universales y reglas de firewall
universales. Las instancias secundarias de NSX Manager se utilizan para administrar servicios de red que
corresponden localmente a la instancia especfica de NSX Manager. Puede haber hasta siete instancias
secundarias de NSX Manager asociadas con la instancia principal en un entorno de Cross-vCenter NSX.
10
VMware, Inc.
Plataforma de consumo
El consumo de NSX puede impulsarse directamente desde la interfaz de usuario de NSX Manager,
disponible en vSphere Web Client. En general, los usuarios finales unen la virtualizacin de red con Cloud
Management Platform (CMP) para implementar aplicaciones. NSX proporciona una integracin completa
en prcticamente cualquier CMP a travs de las API de REST. La integracin inmediata tambin est
disponible mediante VMware vCloud Automation Center, vCloud Director y OpenStack con el
complemento Neutron para NSX.
NSX Edge
Puede instalar NSX Edge como una puerta de enlace de servicios Edge (ESG) o un enrutador lgico
distribuido (DLR). La cantidad de dispositivos Edge, incluidos las ESG y los DLR, est limitada a 250 por
host.
Puerta de enlace de servicios Edge

La ESG brinda acceso a todos los servicios de NSX Edge, como firewall, NAT, DHCP, VPN, equilibrio de
carga y alta disponibilidad. Puede instalar varios dispositivos virtuales de ESG en un centro de datos. Cada
dispositivo virtual de ESG puede tener un total de diez interfaces de red interna y vnculo superior. Con un
tronco, una ESG puede tener hasta 200 subinterfaces. Las interfaces internas se conectan a grupos de puertos
protegidos y actan como puerta de enlace para todas las mquinas virtuales protegidas del grupo de
puertos. La subred asignada a la interfaz interna puede ser un espacio de IP enrutado pblicamente o un
espacio de direcciones privado (RFC 1918) con uso de NAT. Las reglas de firewall y otros servicios NSX
Edge se aplican en el trfico entre las interfaces de red.
Las interfaces de vnculo superior de las ESG se conectan a grupos de puertos de vnculo superior que
tienen acceso a una red compartida de la empresa o a un servicio que proporciona redes de capa de acceso.
Se pueden configurar varias direcciones IP externas para los servicios de NAT, VPN de sitio a sitio y
equilibrador de carga.
Enrutador lgico distribuido

El DLR proporciona enrutamiento distribuido de Este a Oeste con espacio de direccin IP de empresa y
aislamiento de ruta de acceso de datos. Las mquinas virtuales o cargas de trabajo que residen en el mismo
host, en diferentes subredes, pueden comunicarse entre s sin necesidad de atravesar una interfaz de
enrutamiento tradicional.
Un enrutador lgico puede tener ocho interfaces de vnculo superior y hasta mil interfaces internas. Una
interfaz de vnculo superior de un DLR generalmente se empareja con una ESG, con un conmutador de
trnsito lgico de Capa 2 interviniente entre el DLR y la ESG. Una interfaz interna de un DLR se empareja
con una mquina virtual alojada en un hipervisor ESX, con un conmutador lgico interviniente entre la
mquina virtual y el DLR.
El DLR tiene dos componentes principales:
n
VMware, Inc.
El plano de control del DLR es un elemento que proporciona el dispositivo virtual del DLR (tambin
denominado mquina virtual de control). Est mquina virtual es compatible con los protocolos de
enrutamiento dinmico (BGP y OSPF), intercambia actualizaciones de enrutamiento con el dispositivo
de salto de Capa 3 siguiente (generalmente, la puerta de enlace de servicios Edge) y se comunica con
NSX Manager y el clster de NSX Controller. La alta disponibilidad para el dispositivo virtual del DLR
se admite mediante la configuracin activo-en espera: se proporciona un par de mquinas virtuales que
funcionan en los modos activo/en espera cuando se crea el DLR con la caracterstica HA habilitada.
11
En el nivel del plano de datos, hay mdulos de kernel del DLR (VIB) que se instalan en los hosts ESXi
que son parte del dominio NSX. Los mdulos de kernel son similares a las tarjetas de lnea de un chasis
modular que admite el enrutamiento de Capa 3. Los mdulos de kernel tienen una base de informacin
de enrutamiento (RIB) (tambin conocida como tabla de enrutamiento) que se inserta desde el clster de
controladoras. Las funciones del plano de datos de bsqueda de rutas y bsqueda de entradas de ARP
se ejecutan mediante los mdulos de kernel. Los mdulos de kernel estn equipados con interfaces
lgicas (denominadas LIF) que se conectan a diferentes conmutadores lgicos y a cualquier grupo de
puertos respaldado por VLAN. Cada LIF tiene asignada una direccin IP que representa la puerta de
enlace IP predeterminada del segmento de Capa 2 lgico al que se conecta y una direccin vMAC. La
direccin IP es nica para cada LIF, mientras que la misma vMAC se asigna a todas las LIF definidas.
Figura 21. Componentes de enrutamiento lgico
Una instancia de DLR se crea a partir de la interfaz de usuario de NSX Manager (o con llamadas API) y
se habilita el enrutamiento, con lo cual se aprovechan OSPF o BGP.
NSX Controller aprovecha el plano de control con los hosts ESXi para insertar la nueva configuracin
del DLR, incluidas las LIF y sus direcciones IP y vMAC asociadas.
Si asumimos que el protocolo de enrutamiento tambin est habilitado en el dispositivo de salto

siguiente (NSX Edge [ESG] en este ejemplo), el emparejamiento OSPF o BGP se establece entre la ESG y
la mquina virtual de control del DLR. Posteriormente, la ESG y el DLR pueden intercambiar
informacin de enrutamiento:
n
12
La mquina virtual de control del DLR se puede configurar para redistribuir en OSPF los
prefijos IP de todas las redes lgicas conectadas (172.16.10.0/24 y 172.16.20.0/24 en este ejemplo).
Como consecuencia, esta mquina virtual inserta esos anuncios de ruta en NSX Edge. Observe que
el salto siguiente de esos prefijos no es la direccin IP asignada a la mquina virtual de control
(192.168.10.3), sino la direccin IP que identifica el componente del plano de datos del DLR
(192.168.10.2). La primera se conoce como la "direccin del protocolo" del DLR, mientras que la
segunda es la "direccin de reenvo".
VMware, Inc.
NSX Edge inserta en la mquina virtual de control los prefijos para comunicarse con las redes IP de
la red externa. En la mayora de los casos, es posible que NSX Edge enve una sola ruta
predeterminada, porque representa el nico punto de salida hacia la infraestructura de red fsica.
La mquina virtual de control del DLR inserta las rutas IP conocidas por NSX Edge en el clster de
controladoras.
El clster de controladoras es el responsable de distribuir las rutas conocidas de la mquina virtual de

control del DLR a los hipervisores. Cada nodo de controladora del clster es responsable de distribuir
la informacin de una instancia de enrutador lgico en particular. En una implementacin con varias
instancias de enrutador lgico implementadas, la carga se distribuye entre los nodos de controladora.
Una instancia de enrutador lgico distinta generalmente se asocia con cada empresa implementada.
Los mdulos de kernel de enrutamiento del DLR de los hosts controlan el trfico de la ruta de acceso de
datos para la comunicacin con la red externa mediante NSX Edge.
NSX Services
Los componentes de NSX trabajan juntos para brindar los servicios funcionales siguientes.
Conmutadores lgicos
Una implementacin de nube o un centro de datos virtual tiene una variedad de aplicaciones en varias
empresas. Estas aplicaciones y empresas requieren un aislamiento entre s por motivos de seguridad,
aislamiento de errores y direcciones IP que no se superpongan. NSX permite la creacin de varios
conmutadores lgicos, cada uno de los cuales es un dominio de difusin lgico nico. Una mquina virtual
de aplicaciones o empresa se puede conectar de forma lgica a un conmutador lgico. Esto permite
flexibilidad y velocidad de implementacin, al mismo tiempo que brinda todas las caractersticas de los
dominios de difusin de una red fsica (VLAN) sin los problemas fsicos de rbol de expansin o dispersin
en la Capa 2.
Un conmutador lgico se distribuye a todos los hosts de vCenter (o todos los hosts de un entorno de CrossvCenter NSX) y puede abarcar todos estos hosts. Esto permite la movilidad de la mquina virtual (vMotion)
dentro del centro de datos sin las restricciones del lmite de la Capa 2 fsica (VLAN). La infraestructura fsica
no est limitada por los lmites de la tabla de MAC/FIB, dado que el conmutador lgico contiene el dominio
de difusin en software.
Enrutadores lgicos
El enrutamiento proporciona la informacin de reenvo necesaria entre los dominios de difusin de Capa 2 y
permite disminuir el tamao de los dominios de difusin de Capa 2, as como mejorar la eficiencia y la
escala de la red. NSX ampla esta inteligencia hasta donde residen las cargas de trabajo para el enrutamiento
de Este a Oeste. Esto permite una comunicacin ms directa de una mquina virtual a otra sin la costosa
necesidad en cuanto a tiempo y dinero de ampliar los saltos. Al mismo tiempo, los enrutadores lgicos de
NSX proporcionan conectividad de Norte a Sur y permiten que las empresas accedan a redes pblicas.
Firewall lgico
El firewall lgico proporciona mecanismos de seguridad para los centros de datos virtuales dinmicos. El
componente firewall distribuido del firewall lgico permite segmentar entidades del centro de datos virtual,
como mquinas virtuales basadas en nombres y atributos de mquinas virtuales, identidad del usuario,
objetos de vCenter (por ejemplo, centros de datos) y hosts, as como atributos de redes tradicionales
(direcciones IP, VLAN, etc.). El componente firewall de Edge ayuda a cumplir con los requisitos clave de
seguridad de permetro, como la creacin de DMZ segn las construcciones de IP/VLAN, y permite el
aislamiento de empresa a empresa en los centros de datos virtuales de varias empresas.
VMware, Inc.
13
La caracterstica de supervisin de flujo muestra la actividad de red entre las mquinas virtuales en el nivel
del protocolo de aplicaciones. Puede utilizar esta informacin para auditar el trfico de red, definir y refinar
las directivas de firewall, e identificar amenazas a la red.
Redes privadas virtuales (VPN) lgicas

VPN SSL Plus permite a los usuarios remotos acceder a aplicaciones privadas de la empresa. La VPN IPsec
ofrece conectividad de sitio a sitio entre una instancia de NSX Edge y sitios remotos con NSX o con
enrutadores de hardware/puertas de enlace VPN de terceros. La VPN de Capa 2 permite ampliar el centro
de datos permitiendo que las mquinas virtuales mantengan la conectividad de red al mismo tiempo que
mantienen la misma direccin IP en los lmites geogrficos.
Equilibrador de carga lgico

El equilibrador de carga de NSX Edge distribuye las conexiones de cliente dirigidas a una sola direccin IP
virtual (VIP) en varios destinos configurados como miembros de un grupo de equilibrio de carga. Distribuye
las solicitudes de servicio entrante de manera uniforme entre los diversos servidores de forma tal que la
distribucin de carga sea transparente para los usuarios. As, el equilibrio de carga ayuda a lograr una
utilizacin de recursos ptima, maximizar la capacidad de proceso, minimizar el tiempo de respuesta y
evitar la sobrecarga.
Service Composer
Service Composer permite aprovisionar y asignar los servicios de red y seguridad a las aplicaciones en una
infraestructura virtual. Estos servicios se asignan a un grupo de seguridad y los servicios se aplican a las
mquinas virtuales del grupo de seguridad por medio de una directiva de seguridad.
Data Security proporciona visibilidad de los datos confidenciales almacenados en los entornos de nube y
virtualizados de la organizacin e informa sobre cualquier infraccin a la seguridad de los datos.
Extensibilidad de NSX
Los proveedores de soluciones de terceros pueden integrar sus soluciones con la plataforma de NSX para
permitir que los clientes tengan una experiencia integrada en todos los productos de VMware y las
soluciones de partners. Los operadores del centro de datos pueden aprovisionar redes virtuales complejas
de varios niveles en cuestin de segundos, independientemente de los componentes o la topologa de red
subyacente.
14
VMware, Inc.
Descripcin general de CrossvCenter Networking and Security
NSX 6.2 permite administrar varios entornos de vCenter NSX desde una nica instancia principal de NSX
Manager.
n
Beneficios de Cross-vCenter NSX, pgina 15
Cmo funciona Cross-vCenter NSX, pgina 16
Matriz de compatibilidad de NSX Services en Cross-vCenter NSX, pgina 17
Clster de controladoras universal, pgina 18
Zona de transporte universal, pgina 18
Conmutadores lgicos universales, pgina 19
Enrutadores lgicos (distribuidos) universales, pgina 19
Reglas de firewall universal, pgina 19
Objetos de seguridad y red universal, pgina 20
Topologas de Cross-vCenter NSX, pgina 20
Modificar los roles de NSX Manager, pgina 23
Beneficios de Cross-vCenter NSX

Los entornos de NSX que contienen ms de un sistema vCenter Server pueden administrarse de manera
centralizada.
Hay varios motivos por los que pueden requerirse varios sistemas vCenter Server. Por ejemplo:
n
Para superar lmites de escala de vCenter Server
Para admitir productos que requieren varios sistemas vCenter Server o sistemas vCenter Server
dedicados, como Horizon View o Site Recovery Manager
Para separar entornos, por ejemplo, por unidad de negocios, empresa, organizacin o tipo de entorno
En NSX 6.1 y anteriores, si se implementan varios entornos de vCenter NSX, estos deben administrarse por
separado. En NSX 6.2, puede crear objetos universales en la instancia de NSX Manager primaria, que se
sincronizan en todos los sistemas vCenter Server del entorno.
Cross-vCenter NSX incluye estas caractersticas:
n
VMware, Inc.
Mayor expansin de las redes lgicas de NSX. Las mismas redes lgicas estn disponibles en el entorno
de vCenter NSX, por lo que es posible que las mquinas virtuales en cualquier clster de cualquier
sistema vCenter Server se conecten con la misma red lgica.
15
Administracin centralizada de directivas de seguridad. Las reglas de firewall se administran desde

una ubicacin centralizada y se aplican a la mquina virtual independientemente de la ubicacin o del
sistema vCenter Server.
Compatibilidad con los nuevos lmites de movilidad en vSphere 6, incluidos Cross vCenter y vMotion
de larga distancia en todos los conmutadores lgicos.
Mayor compatibilidad con entornos de varios sitios, desde distancia de metros hasta 150 ms RTT. Esto
incluye centros de datos activo-activo y activo-pasivo.
Los entornos de Cross-vCenter NSX ofrecen varios beneficios:

n
Administracin centralizada de objetos universales, lo que reduce el esfuerzo de administracin.
Mayor movilidad de las cargas de trabajo. Las mquinas virtuales pueden migrarse mediante vMotion
en todas las instancias de vCenter Server sin necesidad de volver a configurar la mquina virtual o
cambiar las reglas de firewall.
Capacidades mejoradas de NSX de varios sitios y recuperacin de desastres.
NOTA: La funcionalidad de Cross-vCenter NSX solo se admite en vSphere 6.0.
Cmo funciona Cross-vCenter NSX

En un entorno de Cross-vCenter NSX, puede haber varias instancias de vCenter Server, cada una
emparejado con su propia instancia de NSX Manager. A una instancia de NSX Manager se le asigna el rol de
instancia principal y a las otras se les asigna el rol de instancias secundarias.
La instancia principal de NSX Manager se utiliza para implementar un clster de controladoras universales
que proporciona el plano de control al entorno de Cross-vCenter NSX. Las instancias secundarias de NSX
Manager no tienen su propio clster de controladoras.
La instancia principal de NSX Manager puede crear objetos universales, como conmutadores lgicos
universales. Estos objetos se sincronizan con las instancias secundarias de NSX Manager mediante el
servicio de sincronizacin universal de NSX. Puede ver los objetos desde las instancias secundarias de NSX
Manager, pero no puede editarlos. Debe utilizar la instancia principal de NSX Manager para administrar
objetos universales. La instancia principal de NSX Manager puede utilizarse para configurar cualquiera de
las instancias secundarias de NSX Manager en el entorno.
En las instancias principales y secundarias de NSX Manager, se pueden crear objetos locales para el entorno
especfico de vCenter NSX, como los conmutadores lgicos y los enrutadores lgicos (distribuidos).
Existirn solo en el entorno de vCenter NSX en el que se crearon. No estarn visibles en otras instancias de
NSX Manager del entorno de Cross-vCenter NSX.
A las instancias de NSX Manager se les puede asignar el rol independiente. Esto equivale a los entornos
previos a NSX 6.2 con una nica instancia de NSX Manager y vCenter. Una instancia de NSX Manager
independiente no puede crear objetos universales.
NOTA: Si cambia el rol de una instancia principal de NSX Manager a una independiente y existen objetos
universales en el entorno de NSX, se asignar el rol de trnsito a NSX Manager. Los objetos universales se
mantienen, pero no pueden cambiarse, as como tampoco pueden crearse otros objetos universales. Se
pueden eliminar objetos universales del rol de trnsito. El rol de trnsito solo debe utilizarse de forma
temporal, por ejemplo, cuando la instancia de NSX Manager que se cambia es la principal.
16
VMware, Inc.
Captulo 3 Descripcin general de Cross-vCenter Networking and Security
Configuracin de objetos universales

(vSphere Web Client y API)
Sincronizacin de objetos universales
Clster de
controladoras
universales
vCenter con NSX

Manager (secundario)
vCenter con NSX

Sitio A
Sitio B
Sitio H
Inventario local de vCenter
vCenter con NSX

Manager (principal)
Enrutador lgico (distribuido) universal

Conmutadores lgicos
universales
VM VM VM
VM VM VM
Firewall
distribuido
universal
VM VM VM
VM VM VM
Zona de transporte universal
Matriz de compatibilidad de NSX Services en Cross-vCenter NSX

Hay un subconjunto de servicios NSX Services disponibles para la sincronizacin universal en CrossvCenter NSX
Tabla 31. Matriz de compatibilidad de NSX Services en Cross-vCenter NSX
NSX Service
Detalles
Es compatible con la
sincronizacin de Cross-vCenter
NSX en NSX 6.2?
Conmutador lgico
Zona de transporte
Conmutador lgico
Puentes de Capa 2
Enrutamiento
VMware, Inc.
No
Enrutador lgico (distribuido)
Dispositivo enrutador lgico

(distribuido)
No por diseo. Se deben crear

dispositivos en cada instancia de NSX
Manager si se necesitan varios
dispositivos por enrutador lgico
universal. Esto permite distintas
configuraciones por dispositivo, lo que
puede ser necesario en un entorno con
salida local configurada.
17
Tabla 31. Matriz de compatibilidad de NSX Services en Cross-vCenter NSX (Continua)
NSX Service
Firewall lgico
Detalles
Es compatible con la
sincronizacin de Cross-vCenter
NSX en NSX 6.2?
Puerta de enlace de servicios NSX

Edge
No
Firewall distribuido
Lista de exclusiones
No
SpoofGuard
No
Supervisin de flujo para flujos

agregados
No
Insercin de servicio de red
No
Firewall de Edge
No
VPN
No
Equilibrador de carga lgico
No
Otros servicios Edge
No
Service Composer
No
Seguridad de datos
No
Extensibilidad de la red
No
Objetos de seguridad y red
Grupos de direccin IP (conjuntos IP)
Grupos de direccin MAC

(conjuntos MAC)
Grupos de direcciones IP
No
Grupos de seguridad
S, pero los grupos de seguridad solo

pueden contener objetos incluidos, no
pertenencia dinmica ni objetos
excluidos.
Servicios
Grupos de servicio
Clster de controladoras universal

Cada entorno de Cross-vCenter NSX tiene un clster de controladoras universal asociado con la instancia de
NSX Manager principal. Las instancias de NSX Manager secundarias no tienen clster de controladoras.
Dado que el clster de controladoras universal es el nico clster de controladoras para el entorno de CrossvCenter NSX, mantiene informacin sobre los conmutadores lgicos universales y los enrutadores lgicos
universales al igual que sobre los conmutadores lgicos y los enrutadores lgicos que son locales en un par
de NSX de vCenter.
Para evitar cualquier superposicin de los identificadores de objetos, se mantienen grupos de identificadores
distintos para los objetos universales y los objetos locales.

En un entorno de Cross-vCenter NSX, puede haber solo una zona de transporte universal.
La zona de transporte universal se crea en la instancia de NSX Manager principal y se sincroniza en las
instancias de NSX Manager secundarias. Los clsteres que deben participar en redes lgicas universales
deben agregarse a la zona de transporte universal desde las instancias de NSX Manager correspondientes.
18
VMware, Inc.
Conmutadores lgicos universales

Los conmutadores lgicos universales permiten que las redes de Capa 2 abarquen varios sitios.
Al crear un conmutador lgico en una zona de transporte universal, se crea un conmutador lgico universal.
Este conmutador est disponible en todos los clsteres de la zona de transporte universal. La zona de
transporte universal puede incluir clsteres en cualquier instancia de vCenter del entorno de Cross-vCenter
NSX.
El grupo de identificadores de segmentos se utiliza para asignar VNI a los conmutadores lgicos y el grupo
de identificadores de segmentos universales se utiliza para asignar VNI a los conmutadores lgicos
universales. Estos grupos no deben superponerse.
Debe utilizar un enrutador lgico universal para efectuar el enrutamiento entre los conmutadores lgicos
universales. Si necesita realizar un enrutamiento entre un conmutador lgico universal y un conmutador
lgico, debe utilizar una puerta de enlace de servicios Edge.
Enrutadores lgicos (distribuidos) universales

Los enrutadores lgicos (distribuidos) universales ofrecen administracin centralizada y una configuracin
de enrutamiento que se puede personalizar en el nivel del enrutador lgico universal, el clster o el host.
Cuando crea un enrutador lgico universal, debe elegir si desea habilitar la salida local, dado que esto no se
puede modificar despus de la creacin. La salida local permite controlar las rutas que se proporcionan a los
hosts ESXi segn un identificador, el identificador de regin.
A cada instancia de NSX Manager se le asigna un identificador de regin, que est establecido en el UUID
de NSX Manager de forma predeterminada. Puede anular el identificador de regin en los niveles
siguientes:
n
Enrutador lgico universal
Clster
Host ESXi
Si no habilita la salida local, el identificador de regin se omite y todos los hosts ESXi conectados al
enrutador lgico universal reciben las mismas rutas. Habilitar o no la salida local en un entorno de CrossvCenter NSX es una decisin de diseo, pero no es necesaria para todas las configuraciones de CrossvCenter NSX.
Reglas de firewall universal

El firewall distribuido en un entorno de Cross-vCenter NSX permite la administracin centralizada de las
reglas que aplican a todas las instancias de vCenter Server del entorno. Es compatible con Cross-vCenter
vMotion, lo que permite mover cargas de trabajo o mquinas virtuales de una instancia de vCenter Server a
otra y extender sin problemas la seguridad del centro de datos definido por software.
A medida que el centro de datos necesita escalar horizontalmente, es posible que la instancia de vCenter
Server existente no escale en el mismo nivel. Esto puede requerir que se mueva un conjunto de aplicaciones
a hosts ms nuevos administrados por otra instancia de vCenter Server. O quizs se deban mover las
aplicaciones de la etapa de copias intermedias a produccin en un entorno donde los servidores de copias
intermedias sean administrados por una instancia de vCenter Server y los servidores de produccin, por
otra instancia de vCenter Server. El firewall distribuido es compatible con estas situaciones de Cross-vCenter
vMotion, dado que replica las directivas de firewall que se definen para la instancia de NSX Manager
principal en hasta siete instancias de NSX Manager secundarias.
VMware, Inc.
19
Desde la instancia de NSX Manager principal, puede crear una seccin de reglas de firewall distribuido
marcada para la sincronizacin universal. Puede crear una seccin universal de reglas de Capa 2 y una
seccin universal de reglas de Capa 3. Estas secciones y sus reglas se sincronizan en todas las instancias de
NSX Manager secundarias del entorno. Las reglas en otras secciones siguen siendo locales en la instancia de
NSX Manager adecuada.
Las caractersticas de firewall distribuido siguientes no son compatibles en un entorno de Cross-vCenter
NSX.
n
Lista de exclusiones
SpoofGuard
Supervisin de flujo para flujos agregados
Insercin de servicio de red
Firewall de Edge
Service Composer no es compatible con la sincronizacin universal, por lo que no es posible utilizarlo para
crear reglas de firewall distribuido en la seccin universal.
Objetos de seguridad y red universal

Puede crear objetos de seguridad y red personalizados para utilizarlos en las reglas de firewall distribuido
en la seccin universal.
n
Conjuntos de direcciones IP universales
Conjuntos de direcciones MAC universales
Grupos de seguridad universales
Servicios universales
Grupos de servicios universales
Los objetos de seguridad y red universales se pueden crear solo desde la instancia de NSX Manager
principal.
Los grupos de seguridad universales pueden contener solo conjuntos de direcciones IP universales,
conjuntos de direcciones MAC universales y grupos de seguridad universales. La pertenencia se define
solamente con los objetos incluidos, no se pueden utilizar la pertenencia dinmica ni los objetos excluidos.
Los grupos de seguridad universales no se pueden crear desde Service Composer. Los grupos de seguridad
creados desde Service Composer son locales para esa instancia de NSX Manager.
Topologas de Cross-vCenter NSX

Se puede implementar Cross-vCenter NSX en un solo sitio fsico o en varios sitios.
Cross-vCenter NSX de varios sitios y de un solo sitio

Un entorno de Cross-vCenter NSX permite utilizar los mismos conmutadores lgicos y otros objetos de red
en varias instalaciones de vCenter NSX. Las instancias de vCenter pueden encontrarse en el mismo sitio o en
sitios diferentes.
Independientemente de que el entorno de Cross-vCenter NSX se encuentre en un solo sitio o atraviese
varios sitios, se puede utilizar una configuracin similar. Estas dos topologas de ejemplo consisten en lo
siguiente:
n
20
Una zona de transporte universal que incluye todos los clsteres del sitio o de los sitios.
VMware, Inc.
Conmutadores lgicos universales asociados a la zona de transporte universal. Se utilizan dos

conmutadores lgicos universales para conectar las mquinas virtuales y se utiliza uno como red de
trnsito para el vnculo superior del enrutador.
Se agregan mquinas virtuales a los conmutadores lgicos universales.
Un enrutador lgico universal con un dispositivo NSX Edge para permitir el enrutamiento dinmico. El
dispositivo de enrutamiento lgico universal tiene interfaces internas en los conmutadores lgicos
universales de la mquina virtual y una interfaz de vnculo superior en el conmutador lgico universal
de la red de trnsito.
Puertas de enlace de servicios Edge (ESG) conectadas a la red de trnsito y la red fsica del enrutador de
salida.
Figura 31. Cross-vCenter NSX en un solo sitio

Clster de
controladoras
universales
vCenter con NSX

vCenter con NSX

Manager (principal)
Sitio A
Enrutadores
fsicos
OSPF, BGP
VPN
Emparejamiento x8 E1
Dispositivo del
enrutador lgico
universal
VPN
Puerta de
enlace de
servicios
NSX Edge
Conmutador
lgico universal
Red de trnsito
E8
Enrutador lgico (distribuido) universal

Conmutadores lgicos
universales
VM VM VM
VM VM VM
VM VM VM
VM VM VM
VM VM VM
VM VM VM
VMware, Inc.
21
Figura 32. Cross-vCenter NSX que abarca dos sitios

Sitio A
Clster de
controladoras
universales
Sitio B
vCenter con NSX
vCenter con NSX

Manager (principal)
Enrutadores
fsicos
OSPF, BGP
VPN
Emparejamiento
E1
Dispositivo del
enrutador lgico
universal
VPN
Puerta de
enlace de
servicios
NSX Edge
Conmutador
lgico universal
Red de trnsito
E8
Enrutador lgico distribuido universal

Conmutadores lgicos
universales
VM VM VM
VM VM VM
VM VM VM
VM VM VM
VM VM VM
VM VM VM
Salida local
Todos los sitios de un entorno de Cross-vCenter NSX de varios sitios pueden utilizar los mismos
enrutadores fsicos para el trfico de salida. No obstante, si es necesario personalizar las rutas de salida,
debe habilitarse la caracterstica de salida local al crear el enrutador lgico universal. De este modo, puede
personalizar las rutas en el nivel del enrutador lgico universal, del clster o del host.
Este ejemplo de un entorno de Cross-vCenter NSX en varios sitios tiene la salida local habilitada. Las
puertas de enlace de servicios Edge (ESG) en cada sitio tienen una ruta predeterminada que enva trfico
saliente a travs de los enrutadores fsicos del sitio. El enrutador lgico universal est configurado con dos
dispositivos, uno en cada sitio. Los dispositivos conocen las rutas de las ESG de su sitio. Las rutas conocidas
se envan al clster universal de controladoras. Dado que la salida local est habilitada, el identificador de
22
VMware, Inc.
configuracin regional del sitio se asocia con esas rutas. El clster universal de controladoras enva a los
hosts rutas con identificadores de configuracin regional coincidentes. Las rutas conocidas del dispositivo
del sitio A se envan a los hosts del sitio A y las rutas conocidas del dispositivo del sitio B se envan a los
hosts del sitio B.
Sitio A
Clster de
controladoras
universales
Sitio B
vCenter con NSX
vCenter con NSX

Manager (principal)
Sitio B
Enrutadores
fsicos
Sitio A
Enrutadores
fsicos
OSPF, BGP
VPN
Emparejamiento
E1
VPN
Puerta de
enlace de
servicios
NSX Edge
E8
Conmutador
lgico universal
Red de trnsito A
Enrutador
lgico universal
Dispositivo
principal
Puerta de
enlace de
servicios
NSX Edge
VPN
E1
VPN
OSPF, BGP
E8
Emparejamiento
Conmutador
lgico universal
Red de trnsito B
Enrutador
lgico universal
Dispositivo
secundario
Enrutador lgico distribuido universal

Conmutadores lgicos
universales
VM VM VM
VM VM VM
VM VM VM
VM VM VM
VM VM VM
VM VM VM

Identificador de configuracin regional:
Sitio A
Identificador de configuracin regional:

Sitio B
Modificar los roles de NSX Manager

NSX Manager puede tener el rol principal, el rol secundario o el rol independiente. El software de
sincronizacin especial se ejecuta en la instancia de NSX Manager principal y sincroniza todos los objetos
universales con las instancias de NSX Manager secundarias.
Es importante comprender qu sucede cuando se cambia el rol de NSX Manager.
Establecer como
principal (Set as
primary)
Esta operacin establece el rol de una instancia de NSX Manager como

principal e inicia el software de sincronizacin. Se produce un error en esta
operacin si NSX Manager ya es una instancia principal o una secundaria.
Establecer como
independiente (desde
secundaria) (Set as
standalone [from
secondary])
Esta operacin establece el rol de NSX Manager en modo de trnsito o

independiente. Es posible que se produzca un error en esta operacin si NSX
Manager ya tiene el rol independiente.
VMware, Inc.
23
24
Establecer como
independiente (desde
principal) (Set as
standalone [from
primary])
Esta operacin restablece la instancia de NSX Manager principal al modo de

trnsito o independiente, detiene el software de sincronizacin y cancela el
registro de todas las instancias de NSX Manager secundarias. Es posible que
se produzca un error en esta operacin si NSX Manager ya es una instancia
independiente o si no es posible comunicarse con las instancias de NSX
Manager secundarias.
Desconectar de
principal (Disconnect
from primary)
Cuando se ejecuta esta operacin en una instancia de NSX Manager

secundaria, esta instancia se desconecta de forma unilateral de la instancia de
NSX Manager principal. Se debe utilizar esta operacin si la instancia de NSX
Manager principal tuvo un error irrecuperable y si se desea registrar la
instancia de NSX Manager secundaria en una nueva instancia principal. Si
vuelve a aparecer la instancia NSX Manager principal original, su base de
datos sigue mostrando la instancia de NSX Manager secundaria como
registrada. Para solucionar este problema, incluya la opcin forzar (force)
cuando desconecte o cancele el registro de la instancia secundaria de la
instancia principal original. La opcin forzar (force) quita la instancia de NSX
Manager secundaria de la base de datos de la instancia de NSX Manager
principal original.
VMware, Inc.
Preparar para la instalacin
En esta seccin se describen los requisitos del sistema para NSX y los puertos que deben estar abiertos.
n
Requisitos del sistema para NSX, pgina 25
Puertos y protocolos requeridos por NSX, pgina 27
Conmutadores distribuidos de vSphere y NSX, pgina 29
Ejemplo: Trabajar con un conmutador distribuido de vSphere, pgina 31
Topologa de ejemplo y flujo de trabajo de instalacin de NSX, pgina 38
Cross-vCenter NSX y Enhanced Linked Mode, pgina 40
Requisitos del sistema para NSX

Antes de instalar o actualizar NSX, tenga en cuenta los recursos y la configuracin de red. Puede instalar un
NSX Manager por cada vCenter Server, una instancia de Guest Introspection y Data Security por cada host
ESX y varias instancias de NSX Edge por cada centro de datos.
Hardware
Tabla 41. Requisitos de hardware
Dispositivo
Memoria
vCPU
Espacio en disco
NSX Manager
16 GB (24 GB con ciertos

tamaos de implementacin de
NSX*)
4 GB (8 GB con ciertos
tamaos de
implementacin de NSX*)
60 GB
NSX Controller
4 GB
20 GB
NSX Edge
n
n
n
n
Compacto: 512 MB
Grande: 1 GB
Cudruple: 1 GB
Extra grande: 8 GB
n
n
n
n
Compacto: 1
Grande: 2
Tamao cudruple: 4
Extra grande: 6
n
n
n
n
Compacto: 1 disco de 500 MB

Grande: 1 disco de 500 MB + 1
disco de 512 MB
Cudruple: 1 disco de 500 MB
+ 1 disco de 512 MB
Extra grande: 1 disco de 500 MB
+ 1 disco de 2 GB
Guest
Introspection
1 GB
4 GB
NSX Data
Security
512 MB
6 GB por host ESXi
VMware, Inc.
25
*Como instruccin general, si el entorno administrado de NSX contiene ms de 256 hipervisores, es

recomendable aumentar los recursos de NSX Manager a 8 vCPU y 24 GB de RAM. Para conocer los detalles
de tamao especficos, pngase en contacto con el servicio de soporte tcnico de VMware.
Para obtener informacin sobre el aumento de la memoria y la asignacin de vCPU para los dispositivos
virtuales, consulte las pginas de documentacin de vSphere siguientes (o las pginas equivalentes para su
versin de vSphere):
n
vSphere 5.5:
n
Memoria---https://pubs.vmware.com/vsphere-55/index.jsp?topic=
%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-49D7217CDB6C-41A6-86B3-7AFEB8BF575F.html
vCPU---https://pubs.vmware.com/vsphere-55/index.jsp?topic=
%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-76FC7E9F-8037-4C8EBEB9-91C266C1EA9A.html
vSphere 6.0:
n
Memoria---https://pubs.vmware.com/vsphere-60/index.jsp?topic=
%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-49D7217CDB6C-41A6-86B3-7AFEB8BF575F.html
vCPU---https://pubs.vmware.com/vsphere-60/index.jsp?topic=
%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-76FC7E9F-8037-4C8EBEB9-91C266C1EA9A.html
Software
Para ver la informacin de interoperabilidad ms reciente, consulte la seccin sobre matrices de
interoperabilidad del producto en http://partnerweb.vmware.com/comp_guide/sim/interop_matrix.php.
Estas son las versiones recomendadas de los productos de VMware.
n
VMware vCenter Server 5.5U3
VMware vCenter Server 6.0U2
IMPORTANTE: VMware vCenter Server 6.x es necesario para cross-vCenter NSX.

Tenga en cuenta que para que una instancia de NSX Manager participe en una implementacin de CrossvCenter NSX, se deben dar las condiciones siguientes:
Componente
Versin
NSX Manager
6.2 o posterior
NSX Controller
6.2 o posterior
vCenter Server
6.0 o posterior
ESXi
n
n
ESXi 6.0 o versiones posteriores

Clsteres de host que cuentan con NSX 6.2 o VIB
posteriores
Para administrar todas las instancias de NSX Manager en una implementacin de Cross-vCenter NSX desde
una sola instancia de vSphere Web Client, debe conectar vCenter Server en Enhanced Linked Mode.
Consulte la documentacin de VMware vSphere 6 https://www.vmware.com/support/pubs/vsphere-esxivcenter-server-6-pubs.html.
Para comprobar la compatibilidad de las soluciones de partners con NSX, consulte la Gua de
compatibilidad de VMware para Networking and Security en
http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security.
26
VMware, Inc.
Captulo 4 Preparar para la instalacin
Acceso de clientes y usuarios

n
Si agreg hosts ESXi por nombre al inventario de vSphere, compruebe que la resolucin de nombres
directa o inversa est funcionando. De lo contrario, NSX Manager no puede resolver las direcciones IP.
Permisos para agregar y encender mquinas virtuales.
Acceda al almacn de datos en el que almacena archivos de mquina virtual y a los permisos de cuenta
para copiar los archivos en ese almacn de datos.
Cookies habilitadas en el explorador web, para acceder a la interfaz de usuario de NSX Manager.
En NSX Manager, compruebe que se puede acceder al puerto 443 desde el host ESXi, el servidor
vCenter Server y los dispositivos NSX que se implementarn. Este puerto debe descargar el archivo
OVF en el host ESXi para la implementacin.
Un navegador web que sea compatible con la versin de vSphere Web Client que est utilizando. Para
obtener ms informacin, consulte la documentacin sobre la administracin de vCenter Server y hosts:
n
vSphere 5.5: https://pubs.vmware.com/vsphere-55/index.jsp?topic=

%2Fcom.vmware.vsphere.vcenterhost.doc%2FGUID-A618EF76-638A-49DA-991DB93C5AC0E2B1.html
vSphere 6.0: https://pubs.vmware.com/vsphere-60/index.jsp?topic=

%2Fcom.vmware.vsphere.vcenterhost.doc%2FGUID-A618EF76-638A-49DA-991DB93C5AC0E2B1.html
Puertos y protocolos requeridos por NSX

Los puertos siguientes deben estar abiertos para que NSX funcione correctamente.
Tabla 42. Puertos y protocolos requeridos por NSX
Origen
Destino
Puert
o
Protocol
o
PC cliente
NSX Manager
443
PC cliente
NSX Manager
Host ESXi
Propsito
Sensible
TLS
Autenticacin
TCP
Interfaz
administrativa de
NSX Manager
No
Autenticacin
PAM
80
TCP
Acceso a VIB de
NSX Manager
No
No
Autenticacin
PAM
vCenter
Server
80
TCP
Preparacin del
host ESXi
No
No
vCenter Server
Host ESXi
80
TCP
Preparacin del
host ESXi
No
No
Host ESXi
NSX Manager
5671
TCP
RabbitMQ
No
Host ESXi
NSX
Controller
1234
TCP
Conexin del
agente del mbito
del usuario
No
NSX Controller
NSX
Controller
2878,
2888,
3888
TCP
Clster de
controladoras,
sincronizacin de
estado
No
IPsec
NSX Controller
NSX
Controller
7777
TCP
Puerto RPC entre

controladoras
No
IPsec
VMware, Inc.
Usuario/contrase
a de Rabbit MQ
27
Tabla 42. Puertos y protocolos requeridos por NSX (Continua)
28
Puert
o
Protocol
o
NSX
Controller
30865
NSX Controller
Servidor
horario NTP
NSX Manager
Origen
Destino
Propsito
Sensible
TLS
Autenticacin
NSX Controller
TCP
Clster de
controladoras,
sincronizacin de
estado
No
IPsec
123
TCP
Conexin de
cliente NTP
No
Sin autenticacin
NSX
Controller
443
TCP
Comunicacin de
controladora a
Manager
No
Usuario/contrase
a
NSX Manager
vCenter
Server
443
TCP
vSphere Web
Access TCP
No
NSX Manager
vCenter
Server
902
TCP
vSphere Web
Access
No
NSX Manager
Host ESXi
443
TCP
Conexin de
aprovisionamient
oy
administracin
No
NSX Manager
Host ESXi
902
TCP
Conexin de
aprovisionamient
oy
administracin
No
NSX Manager
Servidor DNS
53
TCP
Conexin de
cliente DNS
No
No
NSX Manager
Servidor
syslog
514
TCP
Conexin de
Syslog
No
NSX Manager
Servidor
horario NTP
123
TCP
Conexin de
cliente NTP
No
vCenter Server
NSX Manager
80
TCP
Preparacin del
host TCP
No
Cliente REST
NSX Manager
443
TCP
API de REST de
NSX Manager
No
Usuario/contrase
a
NSX Controller
Servidor
horario NTP
123
UDP
Conexin de
cliente NTP
No
Sin autenticacin
NSX Manager
Servidor DNS
53
UDP
Conexin de
cliente DNS
No
No
NSX Manager
Servidor de
Syslog
514
UDP
Conexin de
Syslog
No
NSX Manager
Servidor
horario NTP
123
UDP
Conexin de
cliente NTP
No
Terminal de
tnel de
VXLAN (VTEP)
Terminal de
tnel de
VXLAN
(VTEP)
8472 o
4789*
UDP
Encapsulacin de
red de transporte
entre VTEP
No
Host ESXi
Host ESXi
6999
UDP
ARP en LIF de
VLAN
No
Host ESXi
NSX Manager
8301,
8302
UDP
Sincronizacin de
DVS
No
NSX Manager
Host ESXi
8301,
8302
UDP
Sincronizacin de
DVS
No
VMware, Inc.
*En versiones de NSX anteriores a la versin 6.2.3, el puerto VTEP predeterminado para las instalaciones
nuevas era el 8472. A partir de la versin 6.2.3 de NSX, el puerto VTEP predeterminado para las
instalaciones nuevas es el 4789. Las implementaciones de NSX actualizadas de una versin anterior de NSX
a NSX 6.2.3 siguen utilizando el mismo puerto de forma predeterminada. Adems, puede configurar un
puerto personalizado.
Conmutadores distribuidos de vSphere y NSX

En un dominio NSX, NSX vSwitch es el software que funciona en los hipervisores del servidor para formar
una capa de abstraccin de software entre los servidores y la red fsica.
NSX vSwitch est basado en los conmutadores distribuidos de vSphere (VDS), que proporcionan vnculos
superiores para la conectividad del host con los conmutadores fsicos ubicados en la parte superior del
bastidor (ToR). Como prctica recomendada, VMware aconseja planificar y preparar los conmutadores
distribuidos de vSphere antes de instalar NSX for vSphere.
Se puede asociar un solo host a varios VDS. Un solo VDS puede abarcar varios hosts en varios clsteres.
Para cada clster de hosts que participar en NSX, se deben asociar todos los hosts del clster a un VDS
comn.
Por ejemplo, supongamos que tiene un clster con los hosts Host1 y Host2. Host1 est conectado a VDS1 y
VDS2. Host2 est conectado a VDS1 y VDS3. Al preparar un clster para NSX, solo se puede asociar NSX
con el VDS1 del clster. Si agrega otro host (Host3) al clster y Host3 no est conectado a VDS1, la
configuracin no es vlida y Host3 no est listo para la funcionalidad NSX.
Por lo general, para simplificar una implementacin, cada clster de hosts se asocia solamente a un VDS,
aunque algunos VDS abarquen varios clsteres. Por ejemplo, supongamos que vCenter contiene los
clsteres de hosts siguientes:
n
Clster de proceso A para hosts de nivel de aplicaciones
Clster de proceso B para hosts de nivel web
Clster de Edge y de administracin para hosts Edge y de administracin
La pantalla siguiente muestra cmo aparecen estos clsteres en vCenter.
Para un diseo de clster como este, es posible que haya dos VDS denominados Compute_VDS y
Mgmt_VDS. Compute_VDS abarca ambos clsteres de proceso y Mgmt_VDS est asociado solo con el
clster de Edge y de administracin.
Cada VDS contiene grupos de puertos distribuidos para los distintos tipos de trfico que se deben
transportar. Los tipos de trfico tpicos incluyen administracin, almacenamiento y vMotion. Generalmente,
tambin se necesitan puertos de acceso y vnculo superior. Por lo general, se crea un grupo de puertos para
cada tipo de trfico en cada VDS.
Por ejemplo, la pantalla siguiente muestra cmo aparecen estos puertos y conmutadores distribuidos en
vCenter.
VMware, Inc.
29
Cada grupo de puertos puede, opcionalmente, configurarse con un identificador de VLAN. La lista
siguiente muestra un ejemplo de cmo las VLAN pueden asociarse con los grupos de puertos distribuidos
para proporcionar un aislamiento lgico entre los distintos tipos de trfico:
n
Compute_VDS - Acceso---VLAN 130
Compute_VDS - Admin---VLAN 210
Compute_VDS - Almacenamiento---VLAN 520
Compute_VDS - vMotion---VLAN 530
Mgmt_VDS - Vnculo superior---VLAN 100
Mgmt_VDS - Admin---VLAN 110
Mgmt_VDS - Almacenamiento---VLAN 420
Mgmt_VDS - vMotion---VLAN 430
El grupo de puertos DVUplinks es un tronco de VLAN que se crea automticamente cuando se crea un
VDS. Como puerto troncal, enva y recibe tramas etiquetadas. De forma predeterminada, lleva todos los
identificadores de VLAN (0-4094). Esto significa que el trfico con cualquier identificador de VLAN puede
transmitirse por los adaptadores de red vmnic asociados con la ranura DVUplink y que los hosts del
hipervisor pueden filtrarlo a medida que el conmutador distribuido determina qu grupo de puertos debe
recibir el trfico.
Si el entorno de vCenter existente contiene vSwitch estndar en lugar de conmutadores distribuidos, puede
migrar los hosts a conmutadores distribuidos.
30
VMware, Inc.
Ejemplo: Trabajar con un conmutador distribuido de vSphere

Este ejemplo muestra cmo crear un nuevo conmutador distribuido de vSphere (VDS); cmo agregar grupos
de puertos para los tipos de trfico de administracin, almacenamiento y vMotion; y cmo migrar hosts en
un conmutador vSwitch estndar al nuevo conmutador distribuido.
Tenga en cuenta que este es solo un ejemplo para demostrar el procedimiento. Para obtener detalles sobre el
vnculo superior lgico y fsico del VDS, consulte la Gua de diseo de virtualizacin de red de VMware NSX for
vSphere disponible en https://communities.vmware.com/docs/DOC-27683.
Prerequisitos
Este ejemplo da por sentado que cada host ESX que se conectar al conmutador distribuido de vSphere tiene
al menos una conexin con un conmutador fsico (un vnculo superior vmnic). Este vnculo superior puede
utilizarse para el conmutador distribuido y el trfico VXLAN de NSX.
Procedimiento
1
En vSphere Web Client, desplcese hasta el centro de datos.
Haga clic en Crear un conmutador distribuido (Create a Distributed Switch).
Asgnele al conmutador un nombre significativo basado en el clster de hosts que se asociar con este
conmutador.
Por ejemplo, si un conmutador distribuido estar asociado con un clster de hosts de administracin de
centro de datos, puede asignarle el nombre VDS_Admin.
VMware, Inc.
31
Proporcione al menos un vnculo superior para el conmutador distribuido, mantenga habilitado el

control de E/S y asgnele un nombre significativo al grupo de puertos predeterminado. Tenga en cuenta
que no es obligatorio crear el grupo de puertos predeterminado. Puede crearlo manualmente ms
adelante.
De forma predeterminada, se crean cuatro vnculos superiores. Ajuste la cantidad de vnculos
superiores para reflejar el diseo del VDS. En general, la cantidad de vnculos superiores requerida es
igual a la cantidad de NIC fsicas que se asigna al VDS.
La siguiente pantalla muestra una configuracin de ejemplo para el trfico de administracin del clster
de hosts de administracin.
El grupo de puertos predeterminado es solo uno de los grupos que contiene el conmutador. Una vez
creado el conmutador, tendr la posibilidad de agregar grupos de puertos para los diferentes tipos de
trfico. De manera opcional, puede desmarcar la opcin Crear un grupo de puertos predeterminado
(Create a default port group) al crear un nuevo VDS. En realidad, esta puede ser la prctica
recomendada; es mejor ser explcito a la hora de crear grupos de puertos.
5
(Opcional) Una vez que finaliza el asistente Nuevo conmutador distribuido (New Distributed Switch),
edite la configuracin del grupo de puertos predeterminado para colocarlo en la VLAN correcta para el
trfico de administracin.
Por ejemplo, si las interfaces de administracin de hosts estn en la VLAN 110, coloque el grupo de
puertos predeterminado en la VLAN 110. Si las interfaces de administracin de hosts no estn en una
VLAN, omita este paso.
Una vez que finaliza el asistente Nuevo conmutador distribuido (New Distributed Switch), haga clic
con el botn derecho en el conmutador distribuido y seleccione Nuevo grupo de puertos distribuidos
(New Distributed Port Group).
Repita este paso con cada tipo de trfico, asigne un nombre significativo a cada grupo de puertos y
configure el identificador de VLAN correspondiente segn los requisitos de separacin de trfico de la
implementacin.
Configuracin de grupo de ejemplo para almacenamiento.
32
VMware, Inc.
Configuracin de grupo de ejemplo para el trfico vMotion.
La configuracin terminada del conmutador distribuido y de los grupos de puertos se ve as.
VMware, Inc.
33
Haga clic con el botn derecho en el conmutador distribuido, seleccione Agregar y administrar hosts
(Add and Manage Hosts) y, a continuacin, Agregar hosts (Add Hosts).
Conecte todos los hosts que estn en el clster asociado. Por ejemplo, si se trata de un conmutador para
hosts de administracin, seleccione todos los hosts del clster de administracin.
34
Seleccione las opciones para migrar los adaptadores fsicos, los adaptadores VMkernel y las redes de la
mquina virtual.
VMware, Inc.
Seleccione un vnculo superior vmnic y haga clic en Asignar vnculo superior (Assign uplink) para
migrar el vmnic desde el conmutador vSwitch estndar al conmutador distribuido. Repita este paso con
cada host que vaya a conectar al conmutador vSwitch distribuido.
Por ejemplo, esta pantalla muestra dos hosts con sus vnculos superiores vmnic0 configurados para
migrar desde sus respectivos conmutadores vSwitch estndar hacia el grupo de puertos distribuidos
Mgmt_VDS-DVUplinks, un puerto troncal que puede transportar cualquier identificador de VLAN.
10
Seleccione un adaptador de red VMkernel y haga clic en Asignar grupo de puertos (Assign port
group). Repita este paso con todos los adaptadores de red de todos los hosts que vaya a conectar al
conmutador vSwitch distribuido.
Por ejemplo, esta pantalla muestra tres adaptadores de red vmk en dos hosts configurados para
migrarse desde los grupos de puertos estndar hacia los nuevos grupos de puertos distribuidos.
VMware, Inc.
35
11
Mueva las mquinas virtuales que estn en los hosts a un grupo de puertos distribuidos.
Por ejemplo, esta pantalla muestra dos mquinas virtuales en un solo host configuradas para migrarse
desde el grupo de puertos estndar hacia el nuevo grupo de puertos distribuidos.
Una vez finalizado el procedimiento, puede comprobar los resultados en la interfaz de lnea de comandos
del host con la ejecucin de los siguientes comandos:
n
~ # esxcli network vswitch dvs vmware list

Mgmt_VDS
Name: Mgmt_VDS
VDS ID: 89 78 26 50 98 bb f5 1e-a5 07 b5 29 ff 86 e2 ac
Class: etherswitch
Num Ports: 1862
Used Ports: 5
Configured Ports: 512
MTU: 1600
CDP Status: listen
Beacon Timeout: -1
Uplinks: vmnic0
VMware Branded: true
DVPort:
Client: vmnic0
DVPortgroup ID: dvportgroup-306
In Use: true
Port ID: 24
Client: vmk0
In Use: true
Port ID: 0
Client: vmk2
In Use: true
Port ID: 17
Client: vmk1
In Use: true
Port ID: 9
36
VMware, Inc.
~ # esxcli network ip interface list

vmk2
Name: vmk2
MAC Address: 00:50:56:6f:2f:26
Enabled: true
Portset: DvsPortset-0
Portgroup: N/A
Netstack Instance: defaultTcpipStack
VDS Name: Mgmt_VDS
VDS UUID: 89 78 26 50 98 bb f5 1e-a5 07 b5 29 ff 86 e2 ac
VDS Port: 16
VDS Connection: 1235399406
MTU: 1500
TSO MSS: 65535
Port ID: 50331650
vmk0
Name: vmk0
MAC Address: 54:9f:35:0b:dd:1a
Enabled: true
Portgroup: N/A
VDS Name: Mgmt_VDS
VDS Port: 2
MTU: 1500
TSO MSS: 65535
Port ID: 50331651
vmk1
Name: vmk1
MAC Address: 00:50:56:6e:a4:53
Enabled: true
Portgroup: N/A
VDS Name: Mgmt_VDS
VDS Port: 8
MTU: 1500
TSO MSS: 65535
Port ID: 50331652
Qu hacer a continuacin
Repita el proceso de migracin con todos los conmutadores distribuidos de vSphere.
VMware, Inc.
37
Topologa de ejemplo y flujo de trabajo de instalacin de NSX

Para instalar NSX, es necesario implementar varios dispositivos virtuales, preparar los hosts ESX y realizar
cierta configuracin para permitir la comunicacin en todos los dispositivos fsicos y virtuales.
NSX Manager
1
Implementar NSX
Manager
Registro con
vCenter
vCenter
Implementar NSX
Controller
Preparar
hosts
DFW
VXLAN
Enrutamiento
Host ESXi
Configurar redes lgicas,

implementar y configurar
puertas de enlace NSX Edge,
y configurar servicios
de red
VPN
VPN
En la primera parte del proceso, se debe implementar una plantilla de OVF/OVA de NSX Manager y
comprobar que NSX Manager tenga conectividad completa con las interfaces de administracin de los hosts
ESX que administrar. En el siguiente paso, NSX Manager y una instancia de vCenter deben vincularse
entre s mediante un proceso de registro. Esto posteriormente permite la implementacin de un clster de
NSX Controller. NSX Controller, as como NSX Manager, se ejecutan como dispositivos virtuales en los hosts
ESX. A continuacin, se deben preparar los hosts ESX para NSX mediante la instalacin de varios VIB en los
hosts. Estos VIB habilitan la funcionalidad de VXLAN de Capa 2, el enrutamiento distribuido y el firewall
distribuido. Despus de configurar las VXLAN, especificar los rangos de interfaz de red virtual (VNI) y
crear zonas de transporte, puede crear la topologa de superposicin de NSX.
Esta gua de instalacin describe en detalle cada paso del proceso.
Si bien esta gua es aplicable a cualquier implementacin de NSX, tambin se la puede consultar a modo de
ayuda durante el proceso de creacin de una topologa de superposicin de NSX de ejemplo que se puede
utilizar con fines de prctica, instrucciones y referencia. La superposicin de ejemplo tiene un solo enrutador
lgico distribuido NSX (a veces denominado DLR), una puerta de enlace de servicios Edge (ESG) y un
38
VMware, Inc.
conmutador de trnsito lgico NSX que conecta los dos dispositivos de enrutamiento de NSX. La topologa
de ejemplo tambin incluye elementos de una base, que incluye dos mquinas virtuales de ejemplo. Cada
una de estas mquinas virtuales est conectada a un conmutador lgico NSX distinto que permite la
conectividad mediante el enrutador lgico NSX (DLR).
vSphere
Distributed
Switch
ESG
192.168.100.3
Tipo de vnculo:
vnculo superior
192.168.10.1
Tipo de vnculo: interno
Arquitectura
fsica
192.168.100.1
Conmutador
lgico
de trnsito
192.168.10.2
Tipo de vnculo:
vnculo superior
Direccin del protocolo:
192.168.10.3
DLR
172.16.20.1
Conmutador
lgico
de aplicaciones
172.16.10.1
Conmutador
lgico
web
172.16.20.10
VM
Mquina virtual
de aplicaciones
VMware, Inc.
172.16.10.10
VM
Mquina virtual
web
39
Cross-vCenter NSX y Enhanced Linked Mode

vSphere 6.0 presenta la caracterstica Enhanced Linked Mode, que vincula varios sistemas de vCenter Server
mediante una o ms instancias de Platform Services Controller. De este forma, es posible ver y buscar los
inventarios de todos los sistemas vCenter Server vinculados dentro de vSphere Web Client. En un entorno
de Cross-vCenter NSX, Enhanced Linked Mode permite administrar todas las instancias de NSX Manager
desde una nica instancia de vSphere Web Client.
En las grandes implementaciones, donde hay varias instancias de vCenter Server, puede resultar lgico
utilizar Cross-vCenter NSX con Enhanced Linked Mode para vCenter. Estas dos caractersticas son
complementarias, pero distintas.
Combinar Cross-vCenter NSX y Enhanced Linked Mode

En Cross-vCenter NSX, tiene una instancia principal de NSX Manager y varias instancias secundarias de
NSX Manager. Cada una de las instancias de NSX Manager est vinculada con una instancia de vCenter
Server distinta. En la instancia principal de NSX Manager, se pueden crear componentes universales de NSX
(como conmutadores y enrutadores) que es posible ver desde las instancias secundarias de NSX Manager.
Cuando se implementan las instancias individuales de vCenter Server con Enhanced Linked Mode, todas las
instancias de vCenter Server pueden verse y administrarse desde una nica instancia de vCenter Server (a
veces llamada vista integral).
Por lo tanto, cuando Cross-vCenter NSX se combina con Enhanced Linked Mode para vCenter, es posible
ver y administrar cualquiera de las instancias de NSX Manager y todos los componentes universales de NSX
desde cualquiera de las instancias de vCenter Server vinculadas.
Utilizar Cross-vCenter NSX sin Enhanced Linked Mode

Enhanced Linked Mode no es un requisito previo para Cross-vCenter NSX. Sin Enhanced Linked Mode, an
es posible crear zonas de transporte universales para Cross-vCenter, conmutadores universales, enrutadores
universales y reglas de firewall universales. No obstante, sin Enhanced Linked Mode, se debe iniciar sesin
en las instancias individuales de vCenter Server para poder acceder a cada instancia de NSX Manager.
Ms informacin sobre vSphere 6.0 y Enhanced Linked Mode

Para obtener ms informacin sobre vSphere 6.0 y Enhanced Linked Mode, consulte
https://blogs.vmware.com/consulting/2015/03/vsphere-datacenter-design-vcenter-architecture-changesvsphere-6-0-part-1.html.
Si decide utilizar Enhanced Linked Mode, consulte la Gua de instalacin y configuracin de vSphere 6.0
http://pubs.vmware.com/vsphere-60/topic/com.vmware.vsphere.install.doc/GUID-7C9A1E23-7FCD-4295-9C
B1-C932F2423C63.html o la Gua de instalacin de vSphere 6.0
http://pubs.vmware.com/vsphere-60/topic/com.vmware.vsphere.upgrade.doc/GUID-18B7B4BB-C24A-49CDAE76-13285157B29F.html para ver los requisitos ms recientes de vSphere 6.0 y de Enhanced Linked Mode.
40
VMware, Inc.
Tareas para las instancias de NSX

Manager principales y secundarias
En un entorno de Cross-vCenter, puede haber una instancia de NSX Manager principal y hasta siete
instancias de NSX Manager secundarias. Algunas tareas de instalacin se realizan en cada instancia de NSX
Manager, ya sea que se convierta en una instancia de NSX Manager principal o en una secundario.
n
Instalar NSX Manager Virtual Appliance, pgina 41
Configurar Single Sign-On, pgina 46
Registrar vCenter Server con NSX Manager, pgina 47
Especificar un servidor syslog, pgina 51
Instalar y asignar licencia de NSX for vSphere, pgina 52
Excluir las mquinas virtuales de la proteccin de firewall, pgina 53
Instalar NSX Manager Virtual Appliance

NSX Manager proporciona la interfaz de usuario grfica (GUI) y las API de REST para crear, configurar y
supervisar los componentes de NSX, como controladoras, conmutadores lgicos y puertas de enlace de
servicios Edge. NSX Manager proporciona una vista de sistema agregada y es el componente de
administracin de red centralizada de NSX. NSX Manager se instala como dispositivo virtual en cualquier
host ESX del entorno de vCenter.
La mquina virtual de NSX Manager est incluida en un archivo OVA, lo que permite utilizar vSphere Web
Client para importar NSX Manager en el almacn de datos y el inventario de la mquina virtual.
Para obtener alta disponibilidad, VMware recomienda implementar NSX Manager en un clster
configurado con HA y DRS. Como opcin, puede instalar NSX Manager en una instancia de vCenter
diferente de la instancia con la que operar NSX Manager. Una nica instancia de NSX Manager sirve como
entorno nico de vCenter Server.
En las instalaciones de Cross-vCenter NSX, asegrese de que cada instancia de NSX Manager tenga un
UUID nico. Las instancias de NSX Manager implementadas desde los archivos OVA tienen UUID nicos.
Una instancia de NSX Manager implementada desde una plantilla (como cuando se convierte una mquina
virtual a una plantilla) tendr el mismo UUID que la instancia de NSX Manager original que se utiliz para
crear la plantilla. Estas dos instancias de NSX Manager no pueden utilizarse en la misma instalacin de
Cross-vCenter NSX. En otras palabras: para cada instancia de NSX Manager, debe instalar un nuevo
dispositivo desde cero, como se describe en este procedimiento.
La instalacin de la mquina virtual NSX Manager incluye VMware Tools. No intente actualizar ni instalar
VMware Tools en NSX Manager.
VMware, Inc.
41
Durante la instalacin, es posible unirse al Programa de mejora de la experiencia de cliente (CEIP) de NSX.
Consulte el Programa de mejora de la experiencia de cliente en Gua de administracin de NSX para obtener
ms informacin acerca del programa, incluyendo cmo unirse o salir de l.
Prerequisitos
n
Antes de instalar NSX Manager, asegrese de que los puertos requeridos estn abiertos. Consulte
Puertos y protocolos requeridos por NSX, pgina 27.
Asegrese de que haya un almacn de datos configurado y accesible en el host ESX de destino. Se
recomienda el almacenamiento compartido. HA requiere almacenamiento compartido, de modo que el
dispositivo NSX Manager puede reiniciarse en otro host si se producen errores en el host original.
Asegrese de conocer la direccin IP y la puerta de enlace, las direcciones IP del servidor DNS, la lista
de bsqueda de dominios y la direccin IP del servidor NTP que utilizar NSX Manager.
Decida si NSX Manager tendr nicamente direcciones IPv4, nicamente direcciones IPv6 o una
configuracin de red de doble pila. El nombre de host de NSX Manager se utilizar en otras entidades.
Por lo tanto, el nombre de host de NSX Manager debe asignarse a la direccin IP correcta de los
servidores DNS utilizados en la red.
Prepare un grupo de puertos distribuidos para trfico de administracin en el que se comunicar NSX
Manager. Consulte Ejemplo: Trabajar con un conmutador distribuido de vSphere, pgina 31. La
interfaz de administracin de NSX Manager, vCenter Server y las interfaces de administracin de hosts
ESXi deben poder comunicarse con las instancias de NSX Guest Introspection.
Debe estar instalado el complemento de integracin de clientes. El asistente Implementar plantilla de

OVF (Deploy OVF template) funciona mejor en el explorador web Firefox. A veces, en el explorador
web Chrome, aparece un mensaje de error sobre la instalacin del complemento de integracin de
clientes aunque el complemento ya est instalado correctamente. Para instalar el complemento de
integracin de clientes:
a
Abra un explorador web y escriba la URL de vSphere Web Client.
En la parte inferior de la pgina de inicio de sesin de vSphere Web Client, haga clic en Descargar
complemento de integracin de clientes (Download Client Integration Plug-in).
Si el complemento de integracin de clientes ya est instalado en el sistema, no ver el vnculo para
descargarlo. Si desinstala el complemento de integracin de clientes, el vnculo para descargarlo
aparecer en la pgina de inicio de sesin de vSphere Web Client.
Procedimiento
1
Busque el archivo de dispositivo de virtualizacin abierto (OVA) de NSX Manager.

Puede copiar la URL de descarga, o bien descargar el archivo OVA en el equipo.
En Firefox, abra vCenter.
Seleccione Mquinas virtuales y plantillas (VMs and Templates), haga clic con el botn derecho en el
centro de datos y seleccione Implementar plantilla de OVF (Deploy OVF Template).
Pegue la URL de descarga o haga clic en Examinar (Browse) para seleccionar el archivo en el equipo.
Active la casilla Aceptar opciones de configuracin adicionales (Accept extra configuration options).
De este modo, puede establecer direcciones IPv4 e IPv6, as como propiedades de puerta de enlace
predeterminada, DNS, NTP y SSH durante la instalacin, en lugar de configurar estas opciones
manualmente despus de la instalacin.
42
Acepte los contratos de licencia de VMware.
VMware, Inc.
Captulo 5 Tareas para las instancias de NSX Manager principales y secundarias
Edite el nombre de NSX Manager (si se lo requiere). Seleccione la ubicacin para la instancia de NSX
Manager implementada.
El nombre que escriba aparecer en el inventario de vCenter.
La carpeta que seleccione se utilizar para aplicar permisos a NSX Manager.
Seleccione un host o un clster donde implementar el dispositivo NSX Manager.

Por ejemplo:
Cambie el formato de disco virtual a Aprovisionamiento grueso (Thick Provision) y seleccione el

almacn de datos de destino para los discos virtuales y los archivos de configuracin de la mquina
virtual.
10
Seleccione el grupo de puertos de NSX Manager.

Por ejemplo, esta captura de pantalla muestra la seleccin del grupo de puertos Mgmt_DVS - Mgmt.
VMware, Inc.
43
11
(Opcional) Seleccione la casilla de verificacin Unirse al programa de mejora de la experiencia de

cliente (Join the Customer Experience Improvement Program).
12
Establezca las opciones de configuracin adicionales de NSX Manager.

Por ejemplo, esta pantalla muestra la pantalla de revisin final una vez que se configuraron todas las
opciones en una implementacin de IPv4 nicamente.
Abra la consola de NSX Manager para hacer un seguimiento del proceso de arranque.
Una vez que NSX Manager haya terminado de arrancar, inicie sesin en la interfaz de lnea de comandos y
ejecute el comando show interface para comprobar que la direccin IP se aplic segn lo esperado.
nsxmgr1> show interface
Interface mgmt is up, line protocol is up
index 3 metric 1 mtu 1500 <UP,BROADCAST,RUNNING,MULTICAST>
HWaddr: 00:50:56:8e:c7:fa
inet 192.168.110.42/24 broadcast 192.168.110.255
inet6 fe80::250:56ff:fe8e:c7fa/64
Full-duplex, 0Mb/s
input packets 1370858, bytes 389455808, dropped 50, multicast packets 0
input errors 0, length 0, overrun 0, CRC 0, frame 0, fifo 0, missed 0
output packets 1309779, bytes 2205704550, dropped 0
output errors 0, aborted 0, carrier 0, fifo 0, heartbeat 0, window 0
collisions 0
Asegrese de que NSX Manager pueda hacer ping en su puerta de enlace predeterminada, su servidor NTP,
vCenter Server y la direccin IP de la interfaz de administracin en todos los hosts del hipervisor que
administrar.
44
VMware, Inc.
Para conectarse a la GUI del dispositivo NSX Manager, abra un explorador web y desplcese hasta el
nombre de host o la direccin IP de NSX Manager.
Despus de iniciar sesin como administrador con la contrasea que estableci durante la instalacin, haga
clic en Ver resumen (View Summary) y asegrese de que se estn ejecutando los siguientes servicios:
vPostgres, RabbitMQ y NSX Management Services.
A fin de obtener un rendimiento ptimo, VMware recomienda que reserve memoria para el dispositivo
virtual NSX Manager. Una reserva de memoria es un lmite inferior garantizado para la cantidad de
memoria fsica que el host reserva para una mquina virtual, incluso cuando la memoria est
sobrecomprometida. Establezca la reserva en un nivel que garantice que NSX Manager tenga suficiente
memoria como para ejecutarse de forma eficiente.
Registre vCenter Server con NSX Manager.
VMware, Inc.
45
Configurar Single Sign-On

SSO hace que vSphere y NSX sean ms seguros, ya que permite que distintos componentes se comuniquen
entre s mediante un mecanismo de intercambio de token seguro, en lugar de solicitar que cada componente
autentique un usuario por separado. Puede configurar un servicio de bsqueda en NSX Manager y
proporcionar las credenciales de administrador de SSO para registrar NSX Management Service como
usuario de SSO. La integracin del servicio Single Sign-On (SSO) con NSX mejora la seguridad de la
autenticacin de usuarios en vCenter y permite que NSX autentique usuarios de otros servicios de
identidad, como AD, NIS y LDAP.
Con SSO, NSX admite la autenticacin mediante tokens autenticados de lenguaje de marcado de asercin de
seguridad (SAML) de una fuente confiable mediante llamadas API de REST. NSX Manager tambin puede
adquirir tokens de autenticacin SAML para utilizarlos con las soluciones de VMware.
NSX almacena en la memoria cach la informacin grupal de los usuarios de SSO. Los cambios en los
miembros de grupos tardan hasta 60 minutos en propagarse desde el proveedor de identidad (por ejemplo,
Active Directory) hasta NSX.
Prerequisitos
n
Para utilizar SSO en NSX Manager, es necesario tener la versin vCenter Server 5.5 o posterior, y el
servicio de autenticacin Single Sign-On (SSO) debe estar instalado en vCenter Server. Tenga en cuenta
que esto aplica al servicio SSO integrado. En cambio, la implementacin debe utilizar un servidor SSO
externo centralizado.
Para obtener informacin sobre los servicios SSO que ofrece vSphere, consulte
http://kb.vmware.com/kb/2072435 y http://kb.vmware.com/kb/2113115.
Debe especificarse el servidor NTP para que la hora del servidor SSO y la hora de NSX Manager estn
sincronizadas.
Por ejemplo:
Procedimiento
1
Inicie sesin en el dispositivo virtual de NSX Manager.

En un explorador web, desplcese hasta la GUI del dispositivo NSX Manager en https://<nsx-managerip> o https://<nsx-manager-hostname> e inicie sesin como administrador con la contrasea que
configur al instalar NSX Manager.
46
Haga clic en la pestaa Administrar (Manage) y, a continuacin, en NSX Management Service.
VMware, Inc.
Escriba el nombre o la direccin IP del host que tiene el servicio de bsqueda.

Si va a utilizar vCenter para realizar el servicio de bsqueda, introduzca el nombre de host o la
direccin IP de vCenter Server y, a continuacin, introduzca el nombre de usuario y la contrasea de
vCenter Server.
Escriba el nmero de puerto.

Escriba 443 si va a utilizar vSphere 6.0. Para la versin vSphere 5.5, escriba el nmero de puerto 7444.
Se mostrar la URL de Lookup Service segn el host y el puerto especificados.
Por ejemplo:
Compruebe si la huella digital del certificado coincide con el certificado de vCenter Server.
Si instal un certificado firmado por la entidad de certificacin en el servidor de la entidad de
certificacin, ver la huella digital del certificado firmado por la entidad de certificacin. De lo
contrario, ver un certificado autofirmado.
Confirme que el estado de Lookup Service sea Conectado (Connected).

Por ejemplo:
Asigne un rol al usuario de SSO.
Registrar vCenter Server con NSX Manager

NSX Manager y vCenter tienen una relacin uno a uno. Para cada instancia de NSX Manager, hay una de
vCenter Server. Esta relacin se da incluso con la caracterstica NSX Cross-vCenter. Despus de instalar NSX
Manager y de comprobar que el servicio de administracin de NSX est en ejecucin, el paso siguiente es
registrar vCenter Server en NSX Manager.
Puede registrarse una sola instancia de NSX Manager en una de vCenter. Si cambia el registro en vCenter, es
posible que el cambio no se comunique correctamente en todas las instancias afectadas de vCenter y NSX
Manager.
VMware, Inc.
47
Por ejemplo, supongamos que tiene la siguiente configuracin inicial de NSX Manager y vCenter:
n
NSX1 ----> VC1
NSX2 ----> VC2
Si cambia la configuracin en NSX1 de modo que su instancia de vCenter sea VC2, ocurrir lo siguiente:
n
NSX1 informa correctamente de que su instancia de vCenter es VC2.
VC2 informa correctamente de que su instancia de NSX Manager es NSX1.
VC1 informa incorrectamente de que su instancia de NSX Manager es NSX1.
NSX2 informa incorrectamente de que su instancia de vCenter es VC2.
En otras palabras, si ya hay una instancia de vCenter registrada en una instancia de NSX Manager y, a
continuacin, otra instancia de NSX Manager registra la misma instancia de vCenter, vCenter anula
automticamente su conexin con la primera instancia de NSX Manager y se conecta a la nueva instancia de
NSX Manager. No obstante, cuando inicie sesin en la primera instancia de NSX Manager, esta contina
informando sobre una conexin con vCenter.
Para evitar este problema, extraiga el complemento de NSX Manager de VC1 antes de registrarlo en VC2.
Para obtener instrucciones, consulte Quitar una instalacin de NSX de forma segura, pgina 130.
Prerequisitos
n
El servicio de administracin de NSX debe estar en ejecucin. Para comprobarlo, abra en un explorador
web la GUI del dispositivo NSX Manager en https://<nsx-manager-ip> y busque en la pestaa Resumen
(Summary).
Para sincronizar NSX Manager con vCenter Server, debe tener una cuenta de usuario en vCenter Server
con el rol de administrador. Si la contrasea de vCenter tiene caracteres no ASCII, debe cambiarla
sincronizando NSX Manager con vCenter Server.
Procedimiento
1
En un explorador web, desplcese hasta la GUI del dispositivo NSX Manager en https://<nsx-managerip> o https://<nsx-manager-hostname> e inicie sesin como administrador con la contrasea que
configur al instalar NSX Manager.
En Administracin de dispositivos (Appliance Management), haga clic en Administrar registro de

vCenter (Manage vCenter Registration).
Por ejemplo:
48
VMware, Inc.
Edite el elemento de vCenter Server para que apunte al nombre de host o a la direccin IP de vCenter
Server y, a continuacin, introduzca el nombre de usuario y la contrasea de vCenter Server.
En lo que respecta al nombre de usuario, la prctica recomendada es introducir
administrador@vsphere.local o una cuenta alternativa que haya creado. No utilice la cuenta raz.
No marque la opcin Modificar ubicacin de descarga de script de complemento (Modify plugin

script download location) a menos que NSX Manager est protegido por un tipo de dispositivo de
enmascaramiento por firewall.
Esta opcin permite introducir una direccin IP alternativa para NSX Manager. Tenga en cuenta que no
es recomendable proteger NSX Manager con un firewall de este tipo.
Confirme si el estado de vCenter Server es Conectado (Connected).

Por ejemplo:
VMware, Inc.
49
Si vCenter Web Client ya est abierto, cierre la sesin en vCenter y vuelva a iniciarla con el mismo rol
de administrador que utiliz al registrar NSX Manager con vCenter.
Si no lo hace, vCenter Web Client no mostrar el icono Redes y seguridad (Networking & Security) en
la pestaa Inicio (Home).
Haga clic en el icono Redes y seguridad (Networking & Security) y confirme que puede ver la nueva
instancia de NSX Manager implementada.
VMware recomienda programar una copia de seguridad de los datos de NSX Manager apenas despus de
instalar NSX Manager.
Si tiene una solucin de partners de NSX, consulte la documentacin del partner para obtener informacin
sobre cmo registrar la consola del partner con NSX Manager.
Inicie sesin en vSphere Web Client y compruebe que el icono Redes y seguridad (Networking & Security)
aparezca en la pestaa Inicio (Home). Si ya tiene la sesin abierta, el icono no se mostrar. Vuelva a iniciar
sesin en vSphere Web Client para ver el nuevo icono.
Ahora puede instalar y configurar los componentes de NSX.
50
VMware, Inc.
Especificar un servidor syslog

Si especifica un servidor de Syslog, NSX Manager enva todos los registros de auditora y los eventos del
sistema al servidor de Syslog.
Los datos de Syslog son tiles para solucionar problemas y revisar los datos registrados durante la
instalacin y la configuracin.
NSX Edge es compatible con dos servidores syslog. NSX Manager y las instancias de NSX Controller son
compatibles con un servidor syslog.
Procedimiento
1
En un navegador web, acceda a la interfaz grfica de usuario (GUI) del dispositivo NSX Manager en
https://<nsx-manager-ip> o https://<nsx-manager-hostname>.
Inicie sesin como administrador con la contrasea que estableciera durante la instalacin de NSX
Manager.
Haga clic en Manage Appliance Settings (Administrar configuracin de dispositivo).

Por ejemplo:
En el panel Configuracin (Settings), haga clic en General.
Haga clic en Editar (Edit) junto a Servidor de Syslog (Syslog Server).
VMware, Inc.
51
Escriba el nombre del host o la direccin IP, el puerto y el protocolo del servidor de Syslog.
Si no especifica un puerto, se utiliza el puerto UDP predeterminado para la direccin IP o el nombre de
host del servidor de Syslog.
Por ejemplo:
Haga clic en Aceptar (OK).
Se habilita el registro remoto en vCenter Server y los registros se almacenan en el servidor de Syslog
independiente.
Instalar y asignar licencia de NSX for vSphere

Una vez finalizada la instalacin de NSX Manager se puede instalar y asignar una licencia de NSX for
vSphere mediante vSphere Web Client.
Al iniciar NSX 6.2.3, la licencia predeterminada al completar la instalacin ser NSX para vShield Endpoint.
Esta licencia habilita el uso de NSX para implementar y administrar vShield Endpoint solo para descarga de
antivirus y tiene un cumplimiento forzado para restringir el uso de VXLAN, firewall y servicios Edge,
bloqueando la preparacin del host y la creacin de instancias de NSX Edge.
Si necesita otras funciones de NSX, incluidos conmutadores lgicos, enrutadores lgicos, firewall distribuido
o NSX Edge, puede adquirir una licencia de NSX para utilizar dichas funciones o bien solicitar una licencia
de evaluacin para evaluar estas caractersticas a corto plazo.
Consulte las preguntas ms recientes sobre la licencia de NSX en
https://www.vmware.com/files/pdf/products/nsx/vmware-nsx-editions-faq.pdf
Procedimiento
n
En vSphere 5.5, complete los siguientes pasos para agregar una licencia para NSX.
a
Inicie sesin en vSphere Web Client.
Haga clic en Administracin (Administration) y, a continuacin, en Licencias (Licenses).
Haga clic en la pestaa Soluciones (Solutions).
Seleccione NSX for vSphere en la lista Soluciones (Solutions). Haga clic en Asignar una clave de
licencia (Assign a license key).
Seleccione Asignar una nueva clave de licencia (Assign a new license key) en el men desplegable.
Escriba la clave de licencia y una etiqueta opcional para la nueva clave.
Haga clic en Descodificar (Decode).

Descodifique la clave de licencia para comprobar que tenga el formato correcto y suficiente
capacidad para conceder una licencia a los activos.
52
VMware, Inc.
En vSphere 6.0, complete los siguientes pasos para agregar una licencia para NSX.
a
Haga clic en Administracin (Administration) y, a continuacin, en Licencias (Licenses).
Haga clic en la pestaa Activos (Assets) y luego en la pestaa Soluciones (Solutions).
Seleccione NSX for vSphere en la lista Soluciones (Solutions). En el men desplegable Todas las
acciones (All Actions), seleccione Asignar licencia... (Assign license...).
Haga clic en el icono Agregar ( ) (Add). Introduzca la clave de licencia y haga clic en Siguiente
(Next). Agregue un nombre para las licencias y haga clic en Siguiente (Next). Haga clic en
Finalizar (Finish) para agregar la licencia.
Seleccione la nueva licencia.
(Opcional) Haga clic en el icono Ver caractersticas para ver qu caractersticas estn habilitadas
con esta licencia. Revise la columna de Capacidad para comprobar la capacidad de la licencia.
Haga clic en Aceptar (OK) para asignar la nueva licencia a NSX.
Para obtener ms informacin sobre las licencias de NSX, consulte
http://www.vmware.com/files/pdf/vmware-product-guide.pdf.
Excluir las mquinas virtuales de la proteccin de firewall

Puede excluir un conjunto de mquinas virtuales de la proteccin de firewall distribuido de NSX.
NSX Manager, NSX Controller y las mquinas virtuales NSX Edge se excluyen automticamente de la
proteccin de firewall distribuido de NSX. Asimismo, VMware recomienda colocar las siguientes mquinas
virtuales de servicio en la lista de exclusin para permitir que el trfico circule libremente.
n
vCenter Server. Puede moverse a un clster protegido por firewall, pero ya debe existir en la lista de
exclusin para evitar problemas de conectividad.
Mquinas virtuales del servicio de partners.
Mquinas virtuales que requieren el modo promiscuo. Si estas mquinas virtuales estn protegidas por
firewall distribuido de NSX, su rendimiento puede verse gravemente afectado.
El servidor SQL Server que utiliza la instancia de vCenter basada en Windows.
vCenter Web Server, si se lo va a ejecutar por separado.
Procedimiento
1
En vSphere Web Client, haga clic en Redes y seguridad (Networking & Security).
En Inventario de redes y seguridad (Networking & Security Inventory) haga clic en Instancias de NSX
Manager (NSX Managers).
En la columna Nombre (Name), haga clic en una instancia de NSX Manager.
Haga clic en la pestaa Administrar (Manage) y, a continuacin, en Lista de exclusin (Exclusion List).
VMware, Inc.
Haga clic en el icono Agregar (Add) (
).
53
Escriba el nombre de la mquina virtual que desea excluir y haga clic en Agregar (Add).
Por ejemplo:
Si una mquina virtual tiene varias NIC, todas ellas quedarn excluidas de la proteccin. Si agrega vNIC a
una mquina virtual que ya est agregada a la lista de exclusin, el firewall se implementa automticamente
en las vNIC recientemente agregadas. Para excluir estas vNIC de la proteccin de firewall, debe extraer la
mquina virtual de la lista de exclusin y, a continuacin, volver a agregarla a la lista. Una alternativa es
realizar un ciclo de energa (apagar y encender la mquina virtual), pero la primera opcin es menos
disruptiva.
54
VMware, Inc.
Configurar la instancia principal de

NSX Manager
Hay una sola instancia principal de NSX Manager en un entorno de Cross-vCenter NSX. Seleccione qu
instancia de NSX Manager ser la principal y realice las tareas de configuracin para completar la
instalacin de NSX, asignar el rol principal a NSX Manager y crear objetos universales.
La instancia principal de NSX Manager se utiliza para implementar un clster de controladoras universales
que proporciona el plano de control al entorno de Cross-vCenter NSX. Las instancias secundarias de NSX
Manager no tienen su propio clster de controladoras.
n
Implementar NSX Controller en la instancia de NSX Manager principal, pgina 55
Preparar hosts en la instancia de NSX Manager principal, pgina 60
Configurar VXLAN desde la instancia principal de NSX Manager, pgina 64
Asignar un grupo de identificadores de segmentos a la instancia de NSX Manager principal,

pgina 67
Asignar rol principal a NSX Manager, pgina 70
Asignar un grupo de identificadores de segmentos universales en la instancia de NSX Manager

principal, pgina 71
Agregar una zona de transporte universal en la instancia de NSX Manager principal, pgina 72
Agregar un conmutador lgico universal en la instancia de NSX Manager principal, pgina 73
Conectar mquinas virtuales a un conmutador lgico, pgina 75
Agregar un enrutador lgico (distribuido) universal en la instancia de NSX Manager principal,

pgina 75
Implementar NSX Controller en la instancia de NSX Manager principal

NSX Controller es un sistema avanzado de administracin de estado distribuido que proporciona funciones
del plano de control para funciones de enrutamiento lgico y conmutacin lgica de NSX. Sirve como punto
de control central para todos los conmutadores lgicos de una red y mantiene informacin sobre todos los
hosts, conmutadores lgicos (VXLAN) y enrutadores lgicos distribuidos. Las controladoras se requieren
cuando se planean implementar 1) enrutadores lgicos distribuidos o 2) VXLAN en modo hbrido o de
unidifusin. En Cross-vCenter NSX, una vez que se asigna el rol principal a NSX Manager, su clster de
controladoras se convierte en el clster de controladoras universal de todo el entorno de Cross-vCenter
NSX.
Ms all del tamao de la implementacin de NSX, VMware requiere que cada clster de NSX Controller
tenga tres nodos de controladora. No se admite otra cantidad de nodos de controladora.
VMware, Inc.
55
El clster requiere que el sistema de almacenamiento en disco de cada controladora tenga una latencia de
escritura mxima de menos de 300 ms y una latencia de escritura media menor a 100 ms. Si el sistema de
almacenamiento no cumple estos requisitos, el clster puede volverse inestable y provocar un tiempo de
inactividad del sistema.
Prerequisitos
n
Antes de implementar las instancias de NSX Controller, debe implementar un dispositivo NSX Manager
y registrar vCenter con NSX Manager.
Determine la configuracin del grupo de direcciones IP del clster de controladoras, incluidos la puerta
de enlace y el rango de direcciones IP. La configuracin de DNS es opcional. La red IP de NSX
Controller debe tener conexin a NSX Manager y a las interfaces de administracin de los hosts ESXi.
Procedimiento
1
En vCenter, desplcese hasta Inicio > Redes y seguridad > Instalacin (Home > Networking & Security
> Installation) y seleccione la pestaa Administracin (Management).
Por ejemplo:
56
En la seccin de nodos de NSX Controller, haga clic en el icono Agregar nodo (Add Node) (
).
VMware, Inc.
Captulo 6 Configurar la instancia principal de NSX Manager
Introduzca la configuracin de NSX Controller adecuada para el entorno.

Las instancias de NSX Controller deben implementarse en un grupo del puerto de vSphere Distributed
Switch o de vSphere Standard Switch que no est basado en VXLAN y que tenga conexin a NSX
Manager, a otros controladores y a hosts a travs de IPv4.
Por ejemplo:
Si todava no configur un grupo de direcciones IP para el clster de controladoras, haga clic en Nuevo
grupo de direcciones IP (New IP Pool) para hacerlo.
De ser necesario, las controladoras individuales pueden estar en subredes de IP distintas.
Por ejemplo:
VMware, Inc.
57
Introduzca y vuelva a introducir una contrasea para la controladora.

NOTA: La contrasea no debe contener el nombre de usuario como subcadena. Los caracteres no
deben repetirse 3 o ms veces consecutivas.
La contrasea debe tener al menos 12 caracteres y cumplir con al menos 3 de las siguientes 4 reglas:
Al menos una letra en mayscula
Al menos una letra en minscula
Al menos un nmero
Al menos un carcter especial
Una vez implementada la primera controladora, implemente otras dos ms.

Es obligatorio tener tres controladoras. Le recomendamos que configure una regla antiafinidad DRS
para evitar que las controladoras residan en el mismo host.
Una vez implementadas todas correctamente, el estado de las controladoras es Normal y aparece una marca
de verificacin de color verde.
Acceda a cada controladora mediante SSH y compruebe que se pueda hacer ping en las direcciones IP de la
interfaz de administracin del host. Si no se puede hacer ping, compruebe que todas las controladoras
tengan la puerta de enlace predeterminada que corresponde. Para ver la tabla de enrutamiento de una
controladora, ejecute el comando show network routes. Para cambiar la puerta de enlace predeterminada
de una controladora, ejecute el comando clear network routes y, a continuacin, el comando add network
default-route <direccin IP>.
Ejecute los siguientes comandos para comprobar que el comportamiento del clster de control sea el
esperado.
n
show control-cluster status

Type
Status
Since
-------------------------------------------------------------------------------Join status:
Join complete
05/04 02:36:03
Majority status:
Connected to cluster majority
05/19 23:57:23
Restart status:
This controller can be safely restarted
05/19 23:57:12
Cluster ID:
ff3ebaeb-de68-4455-a3ca-4824e31863a8
Node UUID:
ff3ebaeb-de68-4455-a3ca-4824e31863a8
Role
Configured status
Active status
-------------------------------------------------------------------------------api_provider
enabled
activated
persistence_server enabled
activated
switch_manager
enabled
activated
logical_manager
directory_server
enabled
enabled
activated
activated
En el estado Unirse (Join), compruebe que el nodo de controladora informe sobre el estado Unin
completa (Join Complete).
En el estado Mayora (Majority), compruebe que la controladora est conectada a la mayora del clster.
En el identificador del clster, todos los nodos de controladora de un clster deben tener el mismo
identificador de clster.
En los estados Configurado (Configured) y Activo (Active), compruebe que todas las funciones de la
controladora estn habilitadas y activadas.
58
VMware, Inc.
show control-cluster roles
api_provider
persistence_server
switch_manager
logical_manager
directory_server
Listen-IP
Not configured
N/A
127.0.0.1
N/A
N/A
Master?
Yes
Yes
Yes
Yes
Yes
Last-Changed
06/02 08:49:31
06/02 08:49:31
06/02 08:49:31
06/02 08:49:31
06/02 08:49:31
Count
4
4
4
4
4
Cada rol tendr un nodo de controladora maestro. En este ejemplo, un nico nodo es el nodo maestro
de todos los roles.
Si se produce un error en una instancia principal de NSX Controller de una funcin, el clster elegir
una nueva instancia principal para esa funcin entre las instancias de NSX Controller disponibles.
Las instancias de NSX Controller estn en el plano de control, por lo que un error en NSX Controller no
afectar al trfico del plano de datos.
n
show control-cluster connections

role
port
listening open conns
-------------------------------------------------------api_provider
api/443
Y
2
-------------------------------------------------------persistence_server server/2878
Y
2
client/2888
Y
1
election/3888
Y
0
-------------------------------------------------------switch_manager
ovsmgmt/6632
Y
0
openflow/6633
Y
0
-------------------------------------------------------system
cluster/7777
Y
0
Este comando muestra el estado de comunicacin en dentro del clster.

El lder por mayora de clster de controladoras escucha en el puerto 2878 (como muestra la Y en la
columna escuchando [listening]). En los otros nodos de controladoras aparece un guin (-) en la
columna escuchando (listening) para el puerto 2878.
Todos los otros puertos deben escuchar en los tres nodos de controladora.
La columna conex. abiertas (open conns.) muestra la cantidad de conexiones abiertas que tiene el
nodo de controladora con los otros nodos de controladora. En un clster de controladoras de tres
nodos, el nodo de controladora no debe tener ms de dos conexiones abiertas.
ADVERTENCIA: Mientras una controladora est en estado Implementando (Deploying), no agregue ni
modifique conmutadores lgicos o enrutamiento distribuido en el entorno. Tampoco contine con el
procedimiento de preparacin del host. Despus de agregar una nueva controladora al clster de
controladoras, todas las controladoras quedan inactivas durante un breve perodo (5 minutos como
mximo). Durante este tiempo de inactividad, cualquier operacin relacionada con las controladoras, por
ejemplo, la preparacin del host, puede tener resultados inesperados. Aunque parezca que la preparacin
del host se complet satisfactoriamente, es posible que la certificacin SSL no se establezca correctamente, lo
que provoca problemas en la red VXLAN.
Si necesita eliminar una controladora implementada, consulte la seccin sobre cmo solucionar un error de
NSX Controller en Gua de administracin de NSX.
VMware, Inc.
59
NSX habilita el apagado o el inicio automticos de la mquina virtual en los hosts en los que los nodos de
NSX Controller se implementan primero. Si las mquinas virtuales del nodo de controladoras se migran a
otros hosts posteriormente, es posible que los nuevos hosts no tengan habilitado el inicio/apagado
automtico de mquinas virtuales. Por este motivo, VMware recomienda que compruebe todos los hosts del
clster para asegurarse de que la opcin de encendido/apagado automtico est habilitada. Consulte
http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc
%2FGUID-5FE08AC7-4486-438E-AF88-80D6C7928810.html.
Preparar hosts en la instancia de NSX Manager principal

La preparacin de hosts es el proceso por el cual NSX Manager 1) instala mdulos de kernel de NSX en
hosts ESXi que forman parte de los clsteres de vCenter y 2) compila el tejido del plano de administracin y
del plano de control de NSX. Los mdulos de kernel de NSX empaquetados en archivos VIB se ejecutan
dentro del kernel del hipervisor y ofrecen servicios, como enrutamiento distribuido, firewall distribuido y
capacidades de puente de VXLAN.
A fin de preparar el entorno para la virtualizacin de red, debe instalar los componentes de la
infraestructura de red en cada clster de cada instancia de vCenter Server donde sea necesario. De este
modo, se implementa el software requerido en todos los hosts del clster. Cuando se agrega un nuevo host
al clster, el software requerido se instala en ese host automticamente.
Si va a utilizar hosts ESXi sin estado (es decir, ESXi no mantiene activamente su estado reinicio tras reinicio),
debe descargar los VIB de NSX manualmente e integrarlos a la imagen del host. Puede encontrar las rutas
de descarga de los VIB de NSX en la pgina: https://<NSX_MANAGER_IP>/bin/vdn/nwfabric.properties.
Tenga en cuenta que las rutas de descarga pueden variar en cada versin de NSX. Para obtener los VIB
adecuados, consulte siempre la pgina https://<NSX_MANAGER_IP>/bin/vdn/nwfabric.properties.
Consulte cmo implementar VXLAN a travs de Auto Deploy https://kb.vmware.com/kb/2041972 para
obtener ms informacin.
Prerequisitos
n
Registre vCenter en NSX Manager e implemente NSX Controller.
Compruebe si la bsqueda inversa de DNS devuelve un nombre de dominio completo cuando se

consulta con la direccin IP de NSX Manager. Por ejemplo:
C:\Users\Administrator>nslookup 192.168.110.42
Server: localhost
Address: 127.0.0.1
Name:
nsxmgr-l-01a.corp.local
Address: 192.168.110.42
Compruebe si los hosts pueden resolver el nombre DNS de vCenter Server.
Compruebe si los hosts pueden conectarse a vCenter Server en el puerto 80.
Compruebe que la hora de red en vCenter Server y los hosts ESXi est sincronizada.
En cada clster de hosts que participar en NSX, compruebe si los hosts de ese clster estn conectados
a un VDS en comn.
Por ejemplo, supongamos que tiene un clster con los hosts Host1 y Host2. Host1 est conectado a
VDS1 y VDS2. Host2 est conectado a VDS1 y VDS3. Al preparar un clster para NSX, solo se puede
asociar NSX con el VDS1 del clster. Si agrega otro host (Host3) al clster y Host3 no est conectado a
VDS1, la configuracin no es vlida y Host3 no est listo para la funcionalidad NSX.
60
VMware, Inc.
Si tiene vSphere Update Manager (VUM) instalado en el entorno, debe deshabilitarlo a fin de poder
preparar los clsteres para la virtualizacin de red. Para obtener ms informacin sobre cmo
comprobar si VUM est habilitado y cmo deshabilitarlo si fuera necesario, consulte
http://kb.vmware.com/kb/2053782.
Antes de empezar con el proceso de preparacin de hosts de NSX, asegrese siempre de que el clster
est en estado resuelto; es decir, que la opcin Resolver (Resolve) no aparezca en la lista Acciones
(Actions) del clster.
Por ejemplo:
La opcin Resolver (Resolve) a veces aparece porque es preciso reiniciar uno o ms hosts del clster.
Otras veces, la opcin Resolver (Resolve) aparece porque hay un error que debe solucionarse. Haga clic
en el vnculo No listo (Not Ready) para ver el error. Si puede, borre la condicin de error. Si no puede
borrarla del clster, una alternativa es mover los hosts a otro clster o a uno nuevo y eliminar el
antiguo.
VMware, Inc.
61
Para cualquier proceso que implique eliminar uno o ms VIB de un host, se requiere reiniciar el host.
Los procesos que eliminan VIB son, entre otros, las actualizaciones de NSX, la eliminacin de
complementos de NSX Manager de vCenter, la eliminacin de un host de un clster preparado para
NSX y la eliminacin manual de VIB de NSX de un host. Cuando es necesario reiniciar un host, aparece
la etiqueta reinicio requerido (reboot required) en la vista Hosts y Clsteres (Hosts and Clusters). Por
ejemplo:
El reinicio requerido no ocurre automticamente. Antes de reiniciar un host, apague o mueva las
mquinas virtuales (o permita que DRS lo haga). A continuacin, en la pestaa Preparacin del host
(Host Preparation), haga clic en la opcin Resolver (Resolve) en la lista Acciones (Actions). La accin
Resolver (Resolve) coloca los hosts en el modo de mantenimiento, los reinicia y, a continuacin, los
quita del modo de mantenimiento. Si apag las mquinas virtuales de un host, debe volver a
encenderlas manualmente.
Procedimiento
1
> Installation) y seleccione la pestaa Preparacin del host (Host Preparation).
Por ejemplo:
62
VMware, Inc.
En todos los clsteres que requieren conmutacin lgica de NSX, enrutamiento y firewalls, haga clic en
el icono de engranaje y en Instalar (Install).
Un clster de proceso (tambin conocido como clster de carga til) es un clster con mquinas
virtuales de aplicaciones (web, base de datos, etc.). Si un clster de proceso tiene conmutacin de NSX,
enrutamiento o firewalls, haga clic en Instalar (Install) en el clster de proceso.
En el clster "Administracin y Edge" (Management and Edge), como el que se muestra en el ejemplo,
NSX Manager y las mquinas virtuales de la controladora comparten un clster con dispositivos Edge,
como enrutadores lgicos distribuidos (DLR) y puertas de enlace de servicios Edge (ESG). En este caso,
es importante que haga clic en Instalar (Install) en el clster compartido.
Al revs, si "Administracin y Edge" (Management and Edge) tiene un clster dedicado y no
compartido (como se recomienda para un entorno de produccin), haga clic en Instalar (Install) en el
clster Edge, pero para el clster de administracin.
NOTA: Mientras la instalacin est en curso, no implemente, actualice ni desinstale servicios o
componentes.
Supervise la instalacin hasta que la columna Estado de instalacin (Installation Status) muestre una
marca de verificacin de color verde.
Si la columna Estado de instalacin (Installation Status) muestra un icono de advertencia rojo y el
mensaje No listo (Not Ready), haga clic en Resolver (Resolve). Si hace clic en Resolver (Resolve) puede
provocar el reinicio del host. Si la instalacin todava no se puede realizar, haga clic en el icono de
advertencia. Se mostrarn todos los errores. Realice la accin requerida y haga clic nuevamente en
Resolver (Resolve).
Una vez completada la instalacin, la columna Estado de instalacin (Installation Status) muestra el
mensaje Desinstalar 6.2 (6.2 Uninstall) y la columna Firewall muestra el mensaje Habilitado (Enabled).
Ambas columnas tienen una marca de verificacin de color verde. Si ve Resolver (Resolve) en la
columna Estado de instalacin (Installation Status), haga clic en Resolver y, a continuacin, actualice la
ventana del explorador.
Los VIB se instalan y se registran en todos los hosts del clster preparado:
n
esx-vsip
esx-vxlan
Para comprobarlo, acceda a cada host mediante SSH y ejecute el comando esxcli software vib list |
grep esx. Adems de mostrar los VIB, este comando muestra la versin instalada.
[root@host:~] esxcli software vib list | grep esx
...
esx-vsip
6.0.0-0.0.2732470
VMware VMwareCertified
esx-vxlan
6.0.0-0.0.2732470
VMware VMwareCertified
2015-05-29
2015-05-29
...
Despus de la preparacin del host, no es necesario reiniciar el host.

Si agrega un host a un clster preparado, los VIB de NSX se instalan automticamente en el host.
Si mueve un host a un clster no preparado, los VIB de NSX se desinstalan automticamente del host. En
este caso, se requiere reiniciar el host para completar el proceso de desinstalacin.
VMware, Inc.
63
Configurar VXLAN desde la instancia principal de NSX Manager

La red VXLAN se utiliza para la conmutacin lgica de Capa 2 en todos los hosts, lo cual puede expandir
varios dominios subyacentes de Capa 3. La red VXLAN se configura por clster, donde se asigna cada
clster que participar en NSX a un conmutador distribuido de vSphere (VDS). Cuando se asigna un clster
a un conmutador distribuido, cada host del clster queda habilitado para conmutadores lgicos. La
configuracin elegida aqu se utilizar para crear la interfaz del VMkernel.
Si necesita conmutacin y enrutamiento lgicos, todos los clsteres que tienen VIB de NSX instalados en los
hosts tambin deben tener configurados parmetros de transporte de VXLAN. Si desea implementar
nicamente un firewall distribuido, no es necesario configurar los parmetros de transporte de VXLAN.
Prerequisitos
n
Todos los hosts del clster deben estar conectados a un VDS en comn.
NSX Manager debe estar instalado.
Deben estar instaladas las controladoras NSX Controller, a menos que se vaya a utilizar el modo de
replicacin de multidifusin para el plano de control.
Planifique la directiva sobre formacin de equipos de NIC. La directiva sobre formacin de equipos de
NIC determina el equilibrio de carga y la configuracin de conmutacin por error del VDS.
No mezcle distintas directivas de formacin de equipos para diferentes grupos de puertos en un VDS
donde algunos utilizan EtherChannel o LACPv1/LACPv2 y otros utilizan una directiva de formacin de
equipos diferente. Si se comparten vnculos superiores en estas distintas directivas de formacin de
equipos, se interrumpe el trfico. Si hay enrutadores lgicos, habr problemas de enrutamiento. Una
configuracin de este tipo no es compatible y se debe evitar.
La prctica recomendada para la formacin de equipos basada en hash de IP (EtherChannel, LACPv1 o
LACPv2) es utilizar todos los vnculos superiores en el VDS del equipo y no tener grupos de puertos en
ese VDS con diferentes directivas de formacin de equipos. Para obtener ms informacin y otras
instrucciones, consulte la Gua de diseo de virtualizacin de red de VMware NSX for vSphere en
https://communities.vmware.com/docs/DOC-27683.
Planifique el esquema de direcciones IP de los extremos del tnel VXLAN (VTEP). Los VTEP son las
direcciones IP de origen y destino que se utilizan en el encabezado IP externo para identificar de forma
nica a los hosts ESX que originan y finalizan la encapsulacin de tramas de VXLAN. Para las
direcciones IP de VTEP puede utilizar DHCP o grupos de direcciones IP configuradas manualmente.
Si desea que una direccin IP especfica se asigne a un VTEP, puede 1) utilizar una reserva o una
direccin DHCP fija que asigne una direccin MAC a una direccin IP especfica en el servidor DHCP o
2) utilizar un grupo de direcciones IP y, a continuacin, editar manualmente la direccin IP de VTEP
asignada a vmknic en Administrar > Redes > Conmutadores virtuales (Manage > Networking > Virtual
Switches). Por ejemplo:
64
VMware, Inc.
Los VTEP tienen asociado un identificador de VLAN. Sin embargo, puede especificar el identificador de
VLAN = 0 para los VTEP, lo cual indica que se quitarn las etiquetas de las tramas.
n
En los clsteres que forman parte del mismo VDS, el identificador de VLAN debe ser el mismo para los
VTEP y la formacin de equipos de NIC.
La prctica recomendada consiste en importar la configuracin de VDS antes de preparar el clster para
VXLAN. Consulte http://kb.vmware.com/kb/2034602.
Procedimiento
1
> Installation) y seleccione la pestaa Preparacin del host (Host Preparation).
En el men desplegable de NSX Manager, seleccione la instancia principal de NSX Manager (Primary
NSX Manager).
Haga clic en No configurado (Not Configured) en la columna VXLAN.
Configure las redes lgicas.

Para ello, seleccione un VDS, un identificador de VLAN, un tamao de MTU, un mecanismo de
generacin de direcciones IP y una directiva de formacin de equipos de NIC.
VMware, Inc.
65
La MTU de cada conmutador debe establecerse en 1.550 o superior. El valor predeterminado es 1.600. Si
el tamao de MTU de los conmutadores distribuidos de vSphere (VDS) es mayor que la MTU de
VXLAN, la MTU de los VDS no se reducir. Si se establece en un valor ms bajo, se ajustar para que
coincida con la MTU de VXLAN. Por ejemplo, si la MTU de los VDS se establece en 2.000 y se acepta la
MTU predeterminada de VXLAN de 1.600, la MTU de los VDS no se modifica. Si la MTU de los VDS es
1.500 y la MTU de VXLAN es 1.600, la MTU de los VDS cambia a 1.600.
Estas pantallas de ejemplo muestran la configuracin de un clster de administracin con un rango de
direcciones IP de 182.168.150.1-192.168.150.100, respaldado por VLAN 150, y con una directiva de
formacin de equipos de NIC por conmutacin por error.
La cantidad de VTEP no puede editarse en la interfaz de usuario. La cantidad de VTEP se establece de

modo tal que coincida con la cantidad de dvUplinks en el conmutador distribuido de vSphere que se va
a preparar.
66
VMware, Inc.
En los clsteres de proceso, se puede utilizar otra configuracin de direcciones IP (por ejemplo,
192.168.250.0/24 con VLAN 250). Esto depende de la forma en que est diseada la red fsica, por lo cual
probablemente no sea as en las implementaciones pequeas.
La configuracin de VXLAN se traduce en la creacin de nuevos grupos de puertos distribuidos.
Por ejemplo:
Asignar un grupo de identificadores de segmentos a la instancia de

NSX Manager principal
Los segmentos de VXLAN se compilan entre los extremos de tnel de VXLAN (VTEP). Cada tnel de
VXLAN tiene un identificador de segmento. Debe especificar un grupo de identificadores de segmentos en
la instancia de NSX Manager principal para aislar el trfico de la red. Si no hay una controladora NSX
Controller implementada en el entorno, tambin debe agregar un rango de direcciones de multidifusin
para distribuir el trfico por la red y evitar sobrecargar una sola direccin de multidifusin.
La configuracin de varios rangos de identificadores de segmentos en una sola instancia de vCenter (por
ejemplo, 5000-5999, 7000-7999) no se admite actualmente en la interfaz de usuario de vSphere Web Client.
No obstante, puede configurarlos desde NSX API.
POST https://<nsxmgr-ip>/api/2.0/vdn/config/segments
<segmentRange>
<name>Segment ID Pool 1</name>
VMware, Inc.
67
<begin>5000</begin>
<end>5999</end>
</segmentRange>
POST https://<nsxmgr-ip>/api/2.0/vdn/config/segments
<segmentRange>
<name>Segment ID Pool 2</name>
<begin>7000</begin>
<end>7999</end>
</segmentRange>
Prerequisitos
Cuando determine el tamao de cada grupo de identificadores de segmentos, tenga en cuenta que el rango
de identificadores de segmentos controla la cantidad de conmutadores lgicos que pueden crearse. Elija un
subconjunto pequeo de los 16 millones de VNI posibles. No debe configurar ms de 10.000 VNI en una sola
instancia de vCenter porque vCenter limita la cantidad de grupos dvPortgroups a 10.000.
Si la VXLAN se encuentra en otra implementacin de NSX, considere cules VNI ya estn en uso y evite
superponerlos. Los VNI que no se superponen se aplican automticamente en un nico entorno de NSX
Manager y vCenter. Los rangos de VNI locales no pueden superponerse. No obstante, es importante
asegurarse de que los VNI no se superpongan en las distintas implementaciones de NSX. Los VNI que no se
superponen son tiles para fines de seguimiento y permiten garantizar que las implementaciones estn
preparadas para un entorno de Cross-vCenter.
Procedimiento
1
> Installation) y seleccione la pestaa Preparacin de redes lgicas (Logical Network Preparation).
Haga clic en Identificador de segmento > Editar (Segment ID > Edit).

Por ejemplo:
68
VMware, Inc.
Escriba un rango de identificadores de segmentos, por ejemplo, 5000-5999.

Por ejemplo:
Si alguna de las zonas de transporte va a utilizar el modo de replicacin hbrido o de multidifusin,

agregue una direccin de multidifusin o un rango de direcciones de multidifusin.
Contar con un rango de direcciones de multidifusin distribuye el trfico por la red, evita la sobrecarga
de una sola direccin de multidifusin y contiene mejor la replicacin de BUM.
Cuando los modos de replicacin hbrido o de multidifusin de VXLAN estn configurados y
funcionan correctamente, se entrega una copia del trfico de multidifusin solamente a los hosts que
enviaron mensajes de unin a IGMP. De lo contrario, la red fsica inunda todo el trfico de
multidifusin en todos los hosts del mismo dominio de difusin. Para evitar esa inundacin, debe hacer
lo siguiente:
n
Asegrese de que el conmutador fsico subyacente tenga configurada una MTU mayor o igual que
1600.
Asegrese de que el conmutador fsico subyacente tenga correctamente configurada la intromisin

de IGMP y tenga establecido un solicitante de IGMP en los segmentos de red que transportan
trfico de VTEP.
Asegrese de que la zona de transporte est configurada con el rango de direcciones de

multidifusin recomendado. El rango de direcciones de multidifusin recomendado comienza en
239.0.1.0/24 y excluye a 239.128.0.0/24.
No utilice 239.0.0.0/24 o 239.128.0.0/24 como rango de direcciones de multidifusin, ya que estas redes
se utilizan para el control de la subred local; es decir, los conmutadores fsicos saturan todo el trfico
que utiliza estas direcciones. Para obtener ms informacin sobre las direcciones de multidifusin
inutilizables, consulte https://tools.ietf.org/html/draft-ietf-mboned-ipv4-mcast-unusable-01.
Al configurar los conmutadores lgicos, cada uno recibe un identificador de segmento del grupo.
VMware, Inc.
69
Asignar rol principal a NSX Manager

La instancia de NSX Manager principal ejecuta el clster de controladoras. Las instancias de NSX Manager
adicionales son secundarias. El clster de controladoras que se implementa mediante la instancia de NSX
Manager principal es un objeto compartido y se lo denomina clster de controladoras universal. Las
instancias de NSX Manager secundarias importan automticamente el clster de controladoras universal.
Puede haber una instancia de NSX Manager principal y hasta siete instancias de NSX Manager secundarias
en un entorno de Cross-vCenter NSX.
Las instancias de NSX Manager tienen alguno de los cuatro roles:
n
Principal
Secundario
Independiente
De trnsito
Para ver el rol de una instancia de NSX Manager, inicie sesin en la instancia de vCenter vinculada a ella y
desplcese hasta Inicio (Home) > Redes y seguridad (Networking & Security) > Instalacin (Installation )
y, a continuacin, seleccione la pestaa Administracin (Management). El rol se muestra en la columna Rol
(Role) en Instancias de NSX Manager (NSX Managers). Si no se muestra ninguna columna Rol (Role), NSX
Manager tiene el rol independiente.
Prerequisitos
n
La versin de las instancias de NSX Manager (la instancia principal de NSX Manager y las instancias
que se asignarn al rol secundario) debe coincidir.
Los identificadores de nodo de la instancia principal de NSX Manager y las instancias de NSX Manager
que se asignarn al rol secundario deben estar presentes y ser diferentes. Las instancias de NSX
Manager implementadas desde los archivos OVA tienen identificadores de nodo nicos. Una instancia
de NSX Manager implementada desde una plantilla (como cuando se convierte una mquina virtual a
una plantilla) tendr el mismo identificador de nodo que la instancia de NSX Manager original que se
utiliz para crearla; estas dos instancias de NSX Manager no pueden utilizarse en la misma instalacin
de Cross-vCenter NSX.
Cada instancia de NSX Manager debe registrarse con una instancia de vCenter Server nica y distinta.
Los puertos UDP utilizados para la VXLAN deben ser los mismos para todas las instancias de NSX
Manager.
Al asignar el rol secundario a una instancia de NSX Manager, la instancia de vCenter vinculada a ella
no debe tener controladoras NSX Controller implementadas.
El grupo de identificadores de segmentos de NSX Manager que se va a asignar al rol secundario no

debe superponerse con los grupos de identificadores de segmentos de la instancia de NSX Manager
principal ni con el grupo de identificadores de segmentos de otra instancia de NSX Manager
secundaria.
La instancia de NSX Manager a la que se le va a asignar el rol secundario debe tener el rol
independiente o de trnsito.
NOTA: Puede ver el identificador de nodo de NSX Manager con la siguiente llamada API de REST:
GET https://NSX-Manager-IP-Address/api/2.0/services/vsmconfig
Puede ver los puertos UDP utilizados para la VXLAN con la siguiente llamada API de REST:
GET https://NSX-Manager-IP-Address/api/2.0/vdn/config/vxlan/udp/port
70
VMware, Inc.
Procedimiento
1
Inicie sesin en la instancia de vCenter vinculada a la instancia de NSX Manager principal con vSphere
Web Client.
Desplcese hasta Inicio > Redes y seguridad > Instalacin (Home > Networking & Security >
Installation) y seleccione la pestaa Administracin (Management).
Seleccione la instancia de NSX Manager que desea asignar como principal y haga clic en Acciones
(Actions). A continuacin, haga clic en Asignar rol principal (Assign Primary Role).
Se le asigna el rol principal a la instancia de NSX Manager seleccionada.
Asignar un grupo de identificadores de segmentos universales en la

instancia de NSX Manager principal
El grupo de identificadores de segmentos universales especifica un rango de uso cuando se crean segmentos
de red lgicos. Las implementaciones de Cross-vCenter NSX utilizan un grupo de identificadores de
segmentos universales nico para garantizar que los identificadores de red de VXLAN (VNI) de los
conmutadores lgicos universales sean coherentes en todas las instancias de NSX Manager secundarias.
El identificador de segmento universal se define una vez en la instancia d NSX Manager principal y, a
continuacin, se sincroniza en todas las instancias de NSX Manager secundarias. El rango de identificadores
de segmentos universales controla la cantidad de conmutadores lgicos universales que se pueden crear.
Tenga en cuenta que el rango de identificadores de segmentos debe ser nico en cualquier instancia de
NSX Manager que planee utilizar en una implementacin de Cross-vCenter NSX. En este ejemplo se utiliza
un rango alto para proporcionar escalabilidad en el futuro.
Procedimiento
1
Haga clic en Identificador de segmento > Editar.
Escriba un rango para los identificadores de segmentos universales, por ejemplo, 900000-909999.
NOTA: Este ser el rango de identificadores que utilizarn los conmutadores lgicos universales. El
grupo de identificadores de segmentos universales debe ser nico en cualquier instancia de NSX
Manager que se utilizar en una implementacin de Cross-vCenter NSX.
Si alguna de las zonas de transporte utilizar multidifusin o el modo de replicacin hbrido, seleccione
Habilitar direcciones de multidifusin universales (Enable Universal multicast addressing) y escriba
una direccin de multidifusin universal o un rango de direcciones de multidifusin universales.
ADVERTENCIA: En un entorno de Cross-vCenter NSX, si selecciona el modo de replicacin hbrido,
debe asegurarse de que la direccin de multidifusin utilizada no tenga conflictos con ninguna otra
direccin de multidifusin asignada a otra instancia de NSX Manager del entorno.
de una sola direccin de multidifusin y contiene mejor la replicacin de BUM. El rango de direcciones
de multidifusin recomendado comienza en 239.0.1.0/24 y excluye a 239.128.0.0/24.
que utilizan estas direcciones. Para obtener ms informacin sobre las direcciones de multidifusin
Posteriormente, despus de configurar los conmutadores lgicos universales, cada conmutador lgico
universal recibe un identificador de segmento universal del grupo.
VMware, Inc.
71
Agregar una zona de transporte universal en la instancia de NSX

Manager principal
Las zonas de transporte universal controlan los hosts a los que puede acceder un conmutador lgico
universal. La instancia de NSX Manager principal crea la zona de transporte universal y esta se replica en las
instancias de NSX Manager secundarias. Las zonas de transporte universal pueden abarcar uno o ms
clsteres de vSphere en el entorno de Cross-vCenter NSX.
Despus de la creacin, hay una zona de transporte universal disponible en todas las instancias de NSX
Manager secundarias en el entorno de Cross-vCenter NSX. Puede haber solo una zona de transporte
universal.
Prerequisitos
Configurar una zona de transporte universal despus de haber creado un administrador NSX Manager
principal.
Procedimiento
1
2
Haga clic en Zonas de transporte (Transport Zones) y en el icono Nueva zona de transporte (
Transport Zone).
) (New
Seleccione Marcar este objeto para sincronizacin universal (Mark this object for universal
synchronization).
Estas zonas de transporte se sincronizarn con las instancias de NSX Manager secundarias.
Seleccione el modo de plano de control:

n
Multidifusin (Multicast): para el plano de control se utilizan las direcciones IP de multidifusin

de la red fsica. Este modo se recomienda nicamente para actualizar a partir de implementaciones
de VXLAN anteriores. Se requiere PIM/IGMP en la red fsica.
Unidifusin (Unicast): el plano de control es operado por NSX Controller. El trfico de unidifusin
aprovecha la replicacin de cabecera optimizada. No se requieren direcciones IP de multidifusin
ni ninguna configuracin de red especial.
Hbrido (Hybrid): descarga la replicacin de trfico local en la red fsica (multidifusin de Capa 2).
Para esto se requiere la intromisin de IGMP en el conmutador del primer salto y el acceso a un
solicitante de IGMP en cada subred de VTEP, pero no se requiere tecnologa PIM. El conmutador
del primer salto administra la replicacin de trfico de la subred.
Seleccione los clsteres que se agregarn a la zona de transporte.
La zona de transporte universal est disponible en todas las instancias de NSX Manager secundarias en el
entorno de Cross-vCenter NSX.
A continuacin, cree un conmutador lgico universal.
72
VMware, Inc.
Agregar un conmutador lgico universal en la instancia de NSX

Manager principal
En una implementacin de Cross-vCenter NSX, puede crear conmutadores lgicos universales, que pueden
abarcar todas las instancias de vCenter. El tipo de zona de transporte determina si el conmutador nuevo es
un conmutador lgico o un conmutador lgico universal. Cuando agrega un conmutador lgico a una zona
de transporte universal, el conmutador lgico es universal.
Prerequisitos
Tabla 61. Requisitos previos para crear un conmutador lgico o un conmutador lgico universal
Conmutador lgico
n
n
n
n
n
n
n
Los conmutadores distribuidos de vSphere deben estar

configurados.
Las controladoras deben estar implementadas.
Los clsteres de hosts deben estar preparados para NSX.
VXLAN debe estar configurada.
Debe haber una zona de transporte configurada.
Debe haber un grupo de identificadores de segmentos
configurado.
Conmutador lgico universal

n
n
n
n
n
n
n
n
Los conmutadores distribuidos de vSphere deben

estar configurados.
Los clsteres de hosts deben estar preparados
para NSX.
Se debe asignar una instancia de NSX Manager
principal.
Se debe crear una zona de transporte universal.
Se debe configurar un grupo de identificadores
de segmentos universales.
Procedimiento
1
En vSphere Web Client, desplcese hasta Inicio > Redes y seguridad > Conmutadores lgicos (Home >
Networking & Security > Logical Switches).
Seleccione la instancia de NSX Manager principal.
Haga clic en el icono Nuevo conmutador lgico (
) (New Logical Switch).
Escriba un nombre y una descripcin opcional para el conmutador lgico.
En la seccin Zona de transporte (Transport Zone), haga clic en Cambiar (Change) para seleccionar una
zona de transporte. Seleccione la zona de transporte universal para crear un conmutador lgico
universal.
De forma predeterminada, el conmutador lgico hereda el modo de replicacin del plano de control de
la zona de transporte. Puede cambiarlo a uno de los otros modos disponibles. Los modos disponibles
son unidifusin, hbrido y multidifusin.
El caso en el que conviene anular el modo de replicacin del plano de control heredado de la zona de
transporte para un conmutador lgico individual es cuando el conmutador lgico que se crea posee
caractersticas significativamente diferentes en trminos de cantidad de trfico BUM que transportar.
En este caso, puede crear una zona de transporte que utilice el modo de unidifusin y utilizar el modo
hbrido o de multidifusin para el conmutador lgico individual.
IMPORTANTE: Si crea un conmutador lgico universal y selecciona el modo de replicacin hbrido,
VMware, Inc.
73
(Opcional) Haga clic en Habilitar deteccin de direcciones IP (Enable IP Discovery) para habilitar la
supresin de ARP.
Esta configuracin minimiza la saturacin de trfico ARP dentro de segmentos individuales de la
VXLAN; en otras palabras, entre mquinas virtuales conectadas al mismo conmutador lgico. La
deteccin de direcciones IP est habilitada de manera predeterminada.
(Opcional) Haga clic en Habilitar deteccin de MAC (Enable MAC learning) si las mquinas virtuales
tienen varias direcciones MAC o van a utilizar NIC virtuales que son VLAN de enlace troncal.
Al habilitar esta opcin, se crea una tabla de emparejamiento de VLAN/MAC en cada vNIC. Esta tabla
se almacena como parte de los datos de dvfilter. Durante la ejecucin de vMotion, dvfilter guarda y
restaura la tabla en la nueva ubicacin. A continuacin, el conmutador emite RARP para todas las
entradas de VLAN/MAC de la tabla.
Este ejemplo muestra el conmutador lgico de aplicaciones con la configuracin predeterminada.
DB-Tier-00 es el conmutador lgico conectado a una zona de transporte. Solo est disponible en la instancia
de NSX Manager en la que se cre.
DB-Tier-01 es un conmutador lgico universal conectado a una zona de transporte universal. Est disponible
en cualquiera de las instancias de NSX Manager del entorno de Cross-vCenter NSX.
El conmutador lgico y el conmutador lgico universal tienen identificadores de segmentos de distintos
grupos de identificadores de segmentos.
Agregue mquinas virtuales a un conmutador lgico universal.
74
VMware, Inc.
Opcionalmente, cree un enrutador lgico universal y ascielo a los conmutadores lgicos universales para
permitir la conectividad entre las mquinas virtuales conectadas a diferentes conmutadores lgicos
universales.
Conectar mquinas virtuales a un conmutador lgico

Puede conectar mquinas virtuales a un conmutador lgico o a un conmutador lgico universal.
Procedimiento
1
2
En Conmutadores lgicos (Logical Switches), seleccione el conmutador lgico al que desee agregar
mquinas virtuales.
Haga clic en el icono Agregar mquina virtual (Add Virtual Machine) (
Seleccione las mquinas virtuales que desea agregar al conmutador lgico.
Seleccione las vNIC que desea conectar.
Haga clic en Siguiente (Next).
Revise las vNIC que seleccion.
Haga clic en Finalizar (Finish).
).
Agregar un enrutador lgico (distribuido) universal en la instancia de

NSX Manager principal
Los mdulos de kernel del enrutador lgico del host realizan el enrutamiento entre la redes VXLAN y entre
las redes virtual y fsica. Un dispositivo NSX Edge proporciona la capacidad de enrutamiento dinmico,
cuando es necesario. Un enrutador lgico universal proporciona el enrutamiento de Este a Oeste entre los
conmutadores lgicos universales.
Prerequisitos
n
Se le debe haber asignado la funcin de administrador de Enterprise o administrador de NSX.
Debe tener un clster de controladora operativo en el entorno antes de instalar un enrutador lgico.
Se debe crear un grupo de identificadores de segmentos local aunque no est previsto crear
conmutadores lgicos NSX.
Los enrutadores lgicos no pueden distribuir informacin de enrutamiento a hosts sin la ayuda de las
controladoras NSX Controller. Los enrutadores lgicos dependen de las controladoras NSX Controller
para funcionar, mientras que las puertas de enlace de servicios Edge (edge services gateways, ESG) no.
Asegrese de que el clster de controladoras est en funcionamiento y disponible antes de crear o
modificar la configuracin del enrutador lgico.
Si se desea conectar un enrutador lgico a los dvPortgroups de VLAN, asegrese de que todos los hosts
del hipervisor con un dispositivo de enrutador lgico instalado puedan comunicarse entre s en el
puerto UDP 6999 para que funcione el proxy ARP basado en la VLAN del enrutador lgico.
Las interfaces del enrutador lgico y las interfaces puente no pueden conectarse a un dvPortgroup si el
identificador de la VLAN est establecido en 0.
Una instancia de enrutador lgico determinada no puede conectarse a los conmutadores lgicos que
existen en zonas de transporte diferentes. El objetivo de esto es garantizar que todas las instancias de
conmutadores lgicos y enrutadores lgicos estn alineadas.
VMware, Inc.
75
Los enrutadores lgicos conectados a conmutadores lgicos que abarcan ms de un conmutador

distribuido de vSphere (vSphere distributed switch, VDS) no se pueden conectar a grupos de puertos
respaldados por VLAN. El objetivo de esto es garantizar una correcta alineacin de las instancias de
enrutadores lgicos con los dvPortgroups de conmutadores lgicos en todos los hosts.
No deben crearse interfaces de enrutadores lgicos en dos grupos de puertos distribuidos

(dvPortgroups) diferentes con el mismo identificador de VLAN si las dos redes estn en el mismo
conmutador distribuido de vSphere.
No deben crearse interfaces de enrutadores lgicos en dos dvPortgroups diferentes con el mismo
identificador de VLAN si las dos redes estn en conmutadores distribuidos de vSphere diferentes, pero
los dos conmutadores distribuidos de vSphere comparten los mismos hosts. En otras palabras, pueden
crearse interfaces de enrutadores lgicos en dos redes diferentes con el mismo identificador de VLAN si
los dos dvPortgroups estn en dos conmutadores distribuidos de vSphere diferentes, siempre que los
conmutadores distribuidos de vSphere no compartan un host.
A diferencia de las versiones 6.0 y 6.1 de NSX, la versin 6.2 de NSX permite conectar interfaces lgicas
(logical interfaces, LIF) enrutadas mediante enrutadores a una VXLAN conectada en puente con una
VLAN.
Al seleccionar la colocacin de un dispositivo virtual de un enrutador lgico, evite colocarlo en el

mismo host que uno o varios de sus ESG ascendentes, en caso de que utilice ESG en la configuracin de
ECMP. Puede utilizar reglas de antiafinidad de DRS para aplicar esto, lo que reducir el impacto de los
errores del host en el reenvo de enrutadores lgicos. Estas instrucciones no se aplican si tiene un ESG
ascendente individual o en modo de alta disponibilidad. Para obtener ms informacin, consulte la Gua
de diseo de virtualizacin de redes de VMware NSX for vSphere en
Determine si necesita habilitar la salida local. La salida local permite enviar rutas a hosts de manera
selectiva. Quizs sea conveniente utilizar esta opcin si la implementacin de NSX se expande a varios
sitios. Consulte Topologas de Cross-vCenter NSX, pgina 20 para obtener ms informacin. No
puede habilitar la salida local despus de crear el enrutador lgico universal.
Procedimiento
1
En vSphere Web Client, desplcese hasta Inicio > Redes y seguridad > NSX Edge (Home > Networking
& Security > NSX Edges).
Seleccione la instancia de NSX Manager principal para agregar un enrutador lgico universal.
).
Seleccione Enrutador lgico (distribuido) universal (Universal Logical [Distributed] Router).
(Opcional) Habilite la salida local.
Introduzca un nombre para el dispositivo.

Este nombre aparece en el inventario de vCenter. El nombre debe ser nico en todos los enrutadores
lgicos de una misma empresa.
De manera opcional, tambin puede introducir un nombre de host. Este nombre aparece en la interfaz
de lnea de comandos. Si no especifica un nombre de host, la interfaz de lnea de comandos muestra el
identificador de Edge, que se crea automticamente.
De manera opcional, puede introducir una descripcin y especificar la empresa.
(Opcional) Implemente un dispositivo Edge.

La opcin Implementar dispositivo Edge (Deploy Edge Appliance) est seleccionada de forma
predeterminada. Se requiere un dispositivo Edge (tambin denominado dispositivo virtual de
enrutador lgico) para el enrutamiento dinmico y para el firewall del dispositivo de enrutador lgico,
que se aplica a los ping del enrutador, al acceso de SSH y al trfico de enrutamiento dinmico.
76
VMware, Inc.
Puede desactivar la opcin de dispositivo Edge si necesita solo rutas estticas y no desea implementar
un dispositivo Edge. No puede agregar un dispositivo Edge al enrutador lgico una vez que este
enrutador ya est creado.
8
(Opcional) Habilite High Availability.

La opcin Habilitar disponibilidad alta (Enable High Availability) no est seleccionada de forma
predeterminada. Marque la casilla de verificacin Habilitar disponibilidad alta (Enable High
Availability) para habilitar y configurar la disponibilidad alta. Se requiere High Availability si su
intencin es utilizar un enrutamiento dinmico.
Escriba y vuelva a escribir una contrasea para el enrutador lgico.

La contrasea debe tener entre 12 y 255 caracteres, y debe contener lo siguiente:
VMware, Inc.
Al menos un nmero
77
10
(Opcional) Habilite SSH y establezca el nivel de registro.

De forma predeterminada, SSH no est habilitado. Si no habilita SSH, puede abrir la consola del
dispositivo virtual para seguir accediendo al enrutador lgico. Habilitar SSH aqu hace que el proceso
de SSH se ejecute en el dispositivo virtual del enrutador lgico, pero adems ser necesario ajustar
manualmente la configuracin de firewall del enrutador lgico para permitir el acceso de SSH a la
direccin de protocolo del enrutador lgico. La direccin del protocolo se establece cuando se configura
el enrutamiento dinmico en el enrutador lgico.
De forma predeterminada, el registro est en nivel de emergencia.
Por ejemplo:
78
VMware, Inc.
11
Configure la implementacin.
u
Si no seleccion Implementar NSX Edge (Deploy NSX Edge), el icono Agregar (

atenuado. Haga clic en Siguiente (Next) para continuar con la configuracin.
Si seleccion Implementar NSX Edge (Deploy NSX Edge), introduzca la configuracin del
dispositivo virtual del enrutador lgico que se agregar al inventario de vCenter.
) (Add) est
Por ejemplo:
12
Configure las interfaces.

En los enrutadores lgicos, solo se admiten las direcciones IPv4.
En la seccin Configuracin de la interfaz de HA (HA Interface Configuration), si selecciona la opcin
Implementar NSX Edge (Deploy NSX Edge), debe conectar la interfaz al grupo del puerto distribuido.
Le recomendamos que utilice un conmutador lgico VXLAN para la interfaz de HA. Se elegir una
direccin IP para cada uno de los dos dispositivos NSX Edge en el espacio de direccin local del vnculo
(169.250.0.0/16). No es necesario realizar ms cambios en la configuracin para configurar el servicio de
HA.
NOTA: En versiones anteriores de NSX, la interfaz de HA se denominaba interfaz de administracin.
La interfaz de HA no permite el acceso remoto al enrutador lgico. No es posible habilitar SSH para
acceder a la interfaz de HA desde ningn lugar que no se encuentre en la misma subred IP que la
interfaz de HA. No se pueden configurar rutas estticas que apunten hacia afuera de la interfaz de HA,
lo que significa que RPF descartar el trfico entrante. En teora, se puede deshabilitar RPF, pero esto
sera contraproducente para High Availability. Para SSH, utilice la direccin de protocolo del enrutador
lgico, que se establece posteriormente cuando se configura el enrutamiento dinmico.
En NSX 6.2, la interfaz de HA de un enrutador lgico se excluye automticamente de la redistribucin
de rutas.
En la seccin Configurar interfaces de esta instancia de NSX Edge (Configure interfaces of this NSX
Edge), las interfaces internas estn diseadas para conexiones a conmutadores que permiten la
comunicacin entre mquinas virtuales (a la que a veces se denomina comunicacin este-oeste). Las
interfaces internas se crean como pseudo vNIC en el dispositivo virtual del enrutador lgico. Las
interfaces de vnculo superior se utilizan en la comunicacin de Norte a Sur. Es posible que una interfaz
del vnculo superior del enrutador lgico se conecte a una puerta de enlace de servicios de NSX Edge, a
VMware, Inc.
79
una mquina virtual del enrutador externo de esta o a un dvPortgroup respaldado por VLAN para que
el enrutador lgico se conecte al enrutador fsico directamente. Se debe tener al menos una interfaz de
vnculo superior para que el enrutamiento dinmico funcione. Las interfaces de vnculo superior se
crean como vNIC en el dispositivo virtual del enrutador lgico.
La configuracin de la interfaz especificada en este punto se puede modificar ms adelante. Es posible
agregar, eliminar y modificar interfaces despus de implementar un enrutador lgico.
El siguiente ejemplo muestra una interfaz de HA conectada al grupo de puertos distribuidos de
administracin. El ejemplo tambin muestra dos interfaces internas (aplicacin y web) y una interfaz de
vnculo superior (a ESG).
13
Asegrese de que todas las mquinas virtuales asociadas a los conmutadores lgicos tengan sus puertas
de enlace predeterminadas establecidas adecuadamente en las direcciones IP de la interfaz del
enrutador lgico.
En el siguiente ejemplo de topologa, la puerta de enlace predeterminada de la mquina virtual de la

aplicacin debe ser 172.16.20.1. La puerta de enlace predeterminada de la mquina virtual web debe ser
172.16.10.1. Compruebe que las mquinas virtuales puedan hacer ping en sus puertas de enlace
predeterminadas y entre s.
80
VMware, Inc.
Inicie sesin en NSX Manager mediante SSH y ejecute los siguientes comandos:
n
Vea un listado con toda la informacin de la instancia del enrutador lgico.

nsxmgr-l-01a> show logical-router list all
Edge-id
Vdr Name
edge-1
default+edge-1
Vdr id
0x00001388
#Lifs
3
Vea un listado de los hosts que recibieron informacin de enrutamiento para el enrutador lgico del
clster de controladoras.
nsxmgr-l-01a> show logical-router list dlr edge-1 host
ID
HostName
host-25
192.168.210.52
host-26
192.168.210.53
host-24
192.168.110.53
En el resultado se incluyen todos los hosts de todos los clsteres de hosts configurados como miembros
de la zona de transporte a la que pertenece el conmutador lgico que est conectado al enrutador lgico
especificado (en este ejemplo, edge-1).
n
Vea un listado con la informacin de la tabla de enrutamiento que se comunica a los hosts mediante el
enrutador lgico. Las entradas de la tabla de enrutamiento deben ser coherentes en todos los hosts.
nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 route
VDR default+edge-1 Route Table
Legend: [U: Up], [G: Gateway], [C: Connected], [I: Interface]
Legend: [H: Host], [F: Soft Flush] [!: Reject] [E: ECMP]
Destination
----------0.0.0.0
172.16.10.0
172.16.20.0
192.168.10.0
192.168.100.0
VMware, Inc.
GenMask
------0.0.0.0
255.255.255.0
255.255.255.0
255.255.255.248
255.255.255.0
Gateway
------192.168.10.1
0.0.0.0
0.0.0.0
0.0.0.0
192.168.10.1
Flags
----UG
UCI
UCI
UCI
UG
Ref
--1
1
1
1
1
Origin
-----AUTO
MANUAL
MANUAL
MANUAL
AUTO
UpTime
-----4101
10195
10196
10196
3802
Interface
--------138800000002
13880000000b
13880000000a
138800000002
138800000002
81
Vea un listado con informacin adicional sobre el enrutador desde el punto de vista de uno de los hosts.
Esto es til para saber qu controlador es est comunicando con el host.
nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 verbose
VDR Instance Information :
--------------------------Vdr Name:
Vdr Id:
Number of Lifs:
Number of Routes:
State:
Controller IP:
Control Plane IP:
Control Plane Active:
Num unique nexthops:
Generation Number:
Edge Active:
default+edge-1
0x00001388
3
5
Enabled
192.168.110.203
192.168.210.52
Yes
1
0
No
Compruebe el campo Direccin IP de controladora (Controller IP) en el resultado del comando show
logical-router host host-25 dlr edge-1 verbose.
Acceda a una controladora mediante SSH y ejecute los siguientes comandos para mostrar la informacin de
estado adquirida de las tablas de VNI, VTEP, MAC y ARP de la controladora.
n
192.168.110.202 # show control-cluster logical-switches vni 5000

VNI
Controller
BUM-Replication ARP-Proxy Connections
5000
192.168.110.201 Enabled
Enabled
0
La salida para VNI 5000 muestra cero conexiones y la controladora 192.168.110.201 como propietaria de
VNI 5000. Inicie sesin en esa controladora para recopilar ms informacin de VNI 5000.
VNI
Controller
5000
192.168.110.201 Enabled
Enabled
3
El resultado en 192.168.110.201 muestra tres conexiones. Compruebe las VNI adicionales.

VNI
Controller
5001
192.168.110.201 Enabled
Enabled
3
VNI
Controller
5002
192.168.110.201 Enabled
Enabled
3
Debido a que 192.168.110.201 es propietaria de las tres conexiones de VNI, se esperaran ver cero
conexiones en la otra controladora 192.168.110.203.
VNI
Controller
5000
192.168.110.201 Enabled
Enabled
0
n
82
Antes de comprobar las tablas de MAC y ARP, comience a hacer ping de una mquina virtual a la otra.
VMware, Inc.
Desde la mquina virtual de la aplicacin a la mquina virtual web:
Revise las tablas de MAC.

192.168.110.201 # show control-cluster logical-switches mac-table 5000
VNI
MAC
VTEP-IP
Connection-ID
5000
00:50:56:a6:23:ae 192.168.250.52 7
VNI
MAC
VTEP-IP
Connection-ID
5001
00:50:56:a6:8d:72 192.168.250.51 23
Revise las tablas de ARP.

192.168.110.201 # show control-cluster logical-switches arp-table 5000
VNI
IP
MAC
Connection-ID
5000
172.16.20.10
00:50:56:a6:23:ae 7
VNI
IP
MAC
Connection-ID
5001
172.16.10.10
00:50:56:a6:8d:72 23
Revise la informacin del enrutador lgico. Cada instancia del enrutador lgico se procesa en uno de los
nodos de la controladora.
El subcomando instance del comando show control-cluster logical-routers muestra un listado de los
enrutadores lgicos que estn conectados a esta controladora.
El subcomando interface-summary muestra un listado de las LIF que la controladora adquiri de NSX
Manager. Esta informacin se enva a los hosts que estn en los clsteres de hosts administrados en la zona
de transporte.
El subcomando routes muestra la tabla de enrutamiento que se enva a esta controladora mediante el
dispositivo virtual del enrutador lgico (tambin se conoce como mquina virtual de control). Tenga en
cuenta que, a diferencia de los hosts ESXi, esta tabla de enrutamiento no incluye subredes conectadas
directamente, ya que la configuracin de LIF proporciona esta informacin. La informacin de ruta de los
hosts ESXi incluye subredes conectadas directamente porque, en ese caso, se trata de una tabla de reenvo
utilizada por la ruta de datos del host ESXi.
n
controller # show control-cluster logical-routers instance all

LR-Id
LR-Name
Universal Service-Controller Egress-Locale
0x1388
default+edge-1
false
192.168.110.201
local
Anote el identificador de LR y utilcelo en el siguiente comando.

n
VMware, Inc.
controller # show control-cluster logical-routers interface-summary 0x1388

Interface
Type
Id
IP[]
13880000000b
vxlan 0x1389
172.16.10.1/24
13880000000a
vxlan 0x1388
172.16.20.1/24
138800000002
vxlan 0x138a
192.168.10.2/29
83
controller # show control-cluster logical-routers routes 0x1388

Destination
Next-Hop[]
Preference Locale-Id
Source
192.168.100.0/24
192.168.10.1
110
00000000-0000-0000-0000-000000000000 CONTROL_VM
0.0.0.0/0
192.168.10.1
0
00000000-0000-0000-0000-000000000000 CONTROL_VM
[root@comp02a:~]
VMkernel Routes:
Network
10.20.20.0
192.168.210.0
default
esxcfg-route -l
Netmask
255.255.255.0
255.255.255.0
0.0.0.0
Gateway
Local Subnet
Local Subnet
192.168.210.1
Interface
vmk1
vmk0
vmk0
Muestre las conexiones de la controladora a la VNI especfica.

192.168.110.203
Host-IP
192.168.110.53
192.168.210.52
192.168.210.53
# show control-cluster logical-switches connection-table 5000

Port ID
26167 4
27645 5
40895 6
192.168.110.202
Host-IP
192.168.110.53
192.168.210.52
192.168.210.53

Port ID
26167 4
27645 5
40895 6
Estas direcciones IP de hosts son interfaces vmk0, no VTEP. Las conexiones entre hosts y controladoras
ESXi se crean en la red de administracin. Aqu los nmeros de puerto son puertos TCP efmeros que
asigna la pila de direcciones IP del host ESXi cuando el host establece una conexin con la controladora.
n
En el host, puede ver la conexin de red de la controladora vinculada al nmero de puerto.

[root@192.168.110.53:~] #esxcli network ip connection list | grep 26167
tcp
0
0 192.168.110.53:26167
192.168.110.101:1234
ESTABLISHED
96416 newreno netcpa-worker
Muestre las VNI activas en el host. Observe que el resultado es diferente entre los hosts. No todas las
VNI estn activas en todos los hosts. Una VNI est activa en un host si ese host posee una mquina
virtual conectada al conmutador lgico.
[root@192.168.210.52:~] # esxcli network vswitch dvs vmware vxlan network list --vds-name
Compute_VDS
VXLAN ID Multicast IP
Control Plane
Controller
Connection Port Count MAC Entry Count ARP Entry Count VTEP Count
-------- ------------------------- ------------------------------------------------------- ---------- --------------- --------------- ---------5000 N/A (headend replication) Enabled (multicast proxy,ARP proxy) 192.168.110.203
(up)
5001
(up)
1
0
N/A (headend replication)
1
0
0
0
Enabled (multicast proxy,ARP proxy)
0
0
192.168.110.202
NOTA: Para habilitar el espacio de nombres vxlan en vSphere 6 y versiones posteriores, ejecute el
comando /etc/init.d/hostd restart.
En el caso de conmutadores lgicos en modo hbrido o de unidifusin, el comando esxcli network
vswitch dvs vmware vxlan network list --vds-name <vds-name> debe contener el siguiente resultado:
84
El plano de control est habilitado.
El proxy de multidifusin y el proxy ARP aparecen en el listado. El proxy AARP aparece en el

listado aunque se haya deshabilitado la deteccin de direcciones IP.
VMware, Inc.
Una direccin IP de controladora vlida aparece en el listado y la conexin est activa.
Si un enrutador lgico est conectado al host ESXi, el recuento de puertos es al menos 1, incluso si
no hay mquinas virtuales en el host conectado al conmutador lgico. Este puerto es vdrPort, que
es un puerto dvPort especial conectado al mdulo del kernel del enrutador lgico en el host ESXi.
En primer lugar, haga ping de una mquina virtual a otra en una subred diferente y, a continuacin,
muestre la tabla de MAC. Tenga en cuenta que la MAC interna es la entrada de la mquina virtual,
mientras que la MAC externa y la direccin IP externa se refieren a la VTEP.
~ # esxcli network
id=5000
Inner MAC
----------------00:50:56:a6:23:ae
~ # esxcli network
id=5001
Inner MAC
----------------02:50:56:56:44:52
00:50:56:f0:d7:e4
vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlanOuter MAC
----------------00:50:56:6a:65:c2
Outer IP
-------------192.168.250.52
Flags
-------00000111
----------------00:50:56:6a:65:c2
00:50:56:6a:65:c2
Outer IP
-------------192.168.250.52
192.168.250.52
Flags
-------00000101
00000111
En los hosts donde se implementan dispositivos NSX Edge por primera vez, NSX habilita el
encendido/apagado automtico de mquinas virtuales. Si posteriormente las mquinas virtuales del
dispositivo se migran a otros hosts, es posible que los hosts nuevos no tengan habilitada la opcin de
encendido/apagado automtico. Por este motivo, VMware recomienda que compruebe todos los hosts del
Despus de implementar el enrutador lgico, haga doble clic en el identificador del enrutador lgico para
configurar opciones adicionales, como interfaces, enrutamiento, firewall, puentes y rel DHCP.
Por ejemplo:
VMware, Inc.
85
86
VMware, Inc.
Configurar instancias secundarias de

NSX Manager
Una vez configurada una instancia principal de Cross-vCenter NSX Manager, se puede configurar una
instancia secundaria. Las instancias secundarias de NSX Manager utilizan el mismo clster de control
universal que implement la instancia principal de NSX Manager. Puede haber hasta siete instancias
secundarias de NSX Manager en un entorno de Cross-vCenter NSX. Una vez que se asign el rol secundario
a una instancia de NSX Manager, puede utilizar objetos universales, como conmutadores lgicos
universales.
Complete las tareas de configuracin de cada instancia secundaria de NSX Manager en el entorno de CrossvCenter NSX.
n
Agregar una instancia de NSX Manager secundaria, pgina 87
Preparar hosts en una instancia de NSX Manager secundaria, pgina 89
Configurar VXLAN desde la instancia de NSX Manager secundaria, pgina 90
Asignar un grupo de identificadores de segmentos a una instancia de NSX Manager secundaria,

pgina 92
Agregar clsteres a la zona de transporte universal, pgina 93
Agregar una instancia de NSX Manager secundaria

Puede agregar hasta siete instancias de NSX Manager secundarias en un entorno de Cross-vCenter NSX. Los
objetos universales configurados en la instancia de NSX Manager principal se sincronizan en las instancias
de NSX Manager secundarias.
Las instancias de NSX Manager tienen alguno de los cuatro roles:
n
Principal
Secundario
Independiente
De trnsito
Para ver el rol de una instancia de NSX Manager, inicie sesin en la instancia de vCenter vinculada a ella y
desplcese hasta Inicio (Home) > Redes y seguridad (Networking & Security) > Instalacin (Installation )
y, a continuacin, seleccione la pestaa Administracin (Management). El rol se muestra en la columna Rol
(Role) en Instancias de NSX Manager (NSX Managers). Si no se muestra ninguna columna Rol (Role), NSX
Manager tiene el rol independiente.
VMware, Inc.
87
Prerequisitos
n
Debe haber dos instancias de NSX Manager como mnimo, una con un rol principal y otra con un rol
La versin de las instancias de NSX Manager (la instancia principal de NSX Manager y las instancias
que se asignarn al rol secundario) debe coincidir.
Los identificadores de nodo de la instancia principal de NSX Manager y las instancias de NSX Manager
que se asignarn al rol secundario deben estar presentes y ser diferentes. Las instancias de NSX
Manager implementadas desde los archivos OVA tienen identificadores de nodo nicos. Una instancia
de NSX Manager implementada desde una plantilla (como cuando se convierte una mquina virtual a
una plantilla) tendr el mismo identificador de nodo que la instancia de NSX Manager original que se
utiliz para crearla; estas dos instancias de NSX Manager no pueden utilizarse en la misma instalacin
de Cross-vCenter NSX.
Cada instancia de NSX Manager debe registrarse con una instancia de vCenter Server nica y distinta.
Los puertos UDP utilizados para la VXLAN deben ser los mismos para todas las instancias de NSX
Manager.
Al asignar el rol secundario a una instancia de NSX Manager, la instancia de vCenter vinculada a ella
no debe tener controladoras NSX Controller implementadas.
El grupo de identificadores de segmentos de NSX Manager que se va a asignar al rol secundario no

debe superponerse con los grupos de identificadores de segmentos de la instancia de NSX Manager
principal ni con el grupo de identificadores de segmentos de otra instancia de NSX Manager
secundaria.
La instancia de NSX Manager a la que se le va a asignar el rol secundario debe tener el rol
NOTA: Puede ver el identificador de nodo de NSX Manager con la siguiente llamada API de REST:
GET https://NSX-Manager-IP-Address/api/2.0/services/vsmconfig
Puede ver los puertos UDP utilizados para la VXLAN con la siguiente llamada API de REST:
GET https://NSX-Manager-IP-Address/api/2.0/vdn/config/vxlan/udp/port
Procedimiento
1
Inicie sesin en la instancia de vCenter vinculada a la instancia de NSX Manager principal.
Desplcese hasta Inicio (Home) > Redes y seguridad (Networking & Security) > Instalacin
(Installation) y seleccione la pestaa Administracin (Management).
Haga clic en la instancia de NSX Manager principal. A continuacin, seleccione Acciones (Actions) >
Agregar instancia de NSX Manager secundaria (Add Secondary NSX Manager).
Escriba la direccin IP, el nombre de usuario y la contrasea de la instancia de NSX Manager

secundaria.
88
VMware, Inc.
Captulo 7 Configurar instancias secundarias de NSX Manager
Una vez completado correctamente el registro, el rol cambia de Independiente (Standalone) a

Secundario (Secondary).
Si los sistemas vCenter Server se encuentran en Enhanced Linked Mode, puede ver los roles de todas
las instancias de NSX Manager asociadas con esos sistemas vCenter Server en la pestaa Inicio (Home)
> Redes y seguridad (Networking & Security) > Instalacin (Installation).
Si el entorno no utiliza Enhanced Linked Mode, inicie sesin en la instancia de vCenter vinculada a la
instancia de NSX Manager secundaria para ver el rol de NSX Manager.
NOTA: Inicialmente, el estado de la controladora es Desconectado (Disconnected). Espere unos
segundos y, a continuacin, actualice vSphere Web Client. El estado cambia a Normal.
8
Cierre sesin en vSphere Web Client y vuelva a iniciar sesin para comprobar si vSphere Web Client
muestra los roles de NSX Manager nuevos.
Preparar hosts en una instancia de NSX Manager secundaria

Durante la preparacin del host, la instancia de NSX Manager secundaria instala mdulos de kernel de NSX
en los hosts ESXi que pertenecen a los clsteres vCenter, y crea el plano de control y el tejido del plano de
administracin de NSX. Los mdulos de kernel de NSX empaquetados en archivos VIB se ejecutan dentro
del kernel del hipervisor y ofrecen servicios, como enrutamiento distribuido, firewall distribuido y
capacidades de puente de VXLAN.
Prerequisitos
Para ver los detalles sobre los requisitos previos para la preparacin del host, consulte Preparar hosts en la
instancia de NSX Manager principal, pgina 60
Procedimiento
1
Inicie sesin en la instancia de vCenter vinculada a la instancia de NSX Manager secundaria y

desplcese hasta Inicio (Home) > Redes y seguridad (Networking & Security) > Instalacin
(Installation) y seleccione la pestaa Preparacin del host (Host Preparation).
Si las instancias de vCenter estn en Enhanced Linked Mode, puede configurar la instancia de NSX
Manager secundaria desde cualquier instancia de vCenter vinculada. Desplcese hasta la pestaa
Preparacin del host (Host Preparation) y seleccione la instancia de NSX Manager secundaria en el
men desplegable.
En cada clster, haga clic en Instalar (Install).

NOTA: Mientras la instalacin est en curso, no implemente, actualice ni desinstale servicios o
componentes.
VMware, Inc.
89
Supervise la instalacin hasta que la columna Estado de instalacin (Installation Status) muestre una
marca de verificacin de color verde.
Si la columna Estado de instalacin (Installation Status) muestra un icono de advertencia rojo y el
mensaje No listo (Not Ready), haga clic en Resolver (Resolve). Si hace clic en Resolver (Resolve) puede
provocar el reinicio del host. Si la instalacin todava no se puede realizar, haga clic en el icono de
advertencia. Se mostrarn todos los errores. Realice la accin requerida y haga clic nuevamente en
Resolver (Resolve).
Configurar VXLAN desde la instancia de NSX Manager secundaria

La red VXLAN se utiliza para la conmutacin lgica de Capa 2 en todos los hosts, lo cual puede expandir
varios dominios subyacentes de Capa 3. La red VXLAN se configura por clster, donde se asigna cada
clster que participar en NSX a un conmutador distribuido de vSphere (VDS). Cuando se asigna un clster
a un conmutador distribuido, cada host del clster queda habilitado para conmutadores lgicos. La
configuracin elegida aqu se utilizar para crear la interfaz del VMkernel.
Prerequisitos
Para ver los detalles sobre los requisitos previos, consulte Configurar VXLAN desde la instancia principal
de NSX Manager, pgina 64.
Procedimiento
1

(Installation) y seleccione la pestaa Preparacin del host (Host Preparation).
Preparacin del host (Host Preparation) y seleccione la instancia de NSX Manager secundaria en el
men desplegable.
Haga clic en No configurado (Not Configured) en la columna VXLAN.
Configure las redes lgicas.

Para ello, seleccione un VDS, un identificador de VLAN, un tamao de MTU, un mecanismo de
generacin de direcciones IP y una directiva de formacin de equipos de NIC.
La MTU de cada conmutador debe establecerse en 1.550 o superior. El valor predeterminado es 1.600. Si
el tamao de MTU de los conmutadores distribuidos de vSphere (VDS) es mayor que la MTU de
VXLAN, la MTU de los VDS no se reducir. Si se establece en un valor ms bajo, se ajustar para que
coincida con la MTU de VXLAN. Por ejemplo, si la MTU de los VDS se establece en 2.000 y se acepta la
MTU predeterminada de VXLAN de 1.600, la MTU de los VDS no se modifica. Si la MTU de los VDS es
1.500 y la MTU de VXLAN es 1.600, la MTU de los VDS cambia a 1.600.
Estas pantallas de ejemplo muestran la configuracin de un clster de administracin con un rango de
direcciones IP de 182.168.150.1-192.168.150.100, respaldado por VLAN 150, y con una directiva de
formacin de equipos de NIC por conmutacin por error.
90
VMware, Inc.
La cantidad de VTEP no puede editarse en la interfaz de usuario. La cantidad de VTEP se establece de

modo tal que coincida con la cantidad de dvUplinks en el conmutador distribuido de vSphere que se va
a preparar.
En los clsteres de proceso, se puede utilizar otra configuracin de direcciones IP (por ejemplo,
192.168.250.0/24 con VLAN 250). Esto depende de la forma en que est diseada la red fsica, por lo cual
probablemente no sea as en las implementaciones pequeas.
VMware, Inc.
91
Asignar un grupo de identificadores de segmentos a una instancia de

NSX Manager secundaria
La instancia de NSX Manager secundaria muestra el grupo de identificadores de segmentos universales, que
se sincroniza desde la instancia de NSX Manager principal. Adems, es posible crear un grupo de
identificadores de segmentos que sea local para la instancia de NSX Manager secundaria, que se utilizar
para crear conmutadores lgicos locales para esa instancia de NSX Manager.
Prerequisitos
Para ver detalles de los requisitos previos e instrucciones para la planificacin de grupos de identificadores
de segmentos, consulte Asignar un grupo de identificadores de segmentos a la instancia de NSX Manager
principal, pgina 67.
Procedimiento
1

(Installation) > Preparacin de red lgica (Logical Network Preparation) y seleccione la pestaa
Identificador de segmento (Segment ID).
Identificador de segmento (Segment ID) y seleccione la instancia de NSX Manager secundaria en el
men desplegable.
Escriba un rango para los identificadores de segmentos locales, por ejemplo, 20000-29999.
ADVERTENCIA: Los rangos especificados para los identificadores de segmentos locales y universales
deben ser nicos y no se deben superponer.
Si alguna de las zonas de transporte utilizar multidifusin o el modo de replicacin hbrido, seleccione
Habilitar direcciones de multidifusin (Enable multicast addressing) y escriba una direccin de
multidifusin o un rango de direcciones de multidifusin.
ADVERTENCIA: En un entorno de Cross-vCenter NSX, si selecciona el modo de replicacin hbrido,
de una sola direccin de multidifusin y contiene mejor la replicacin de BUM. El rango de direcciones
de multidifusin recomendado comienza en 239.0.1.0/24 y excluye a 239.128.0.0/24.
que utilizan estas direcciones. Para obtener ms informacin sobre las direcciones de multidifusin
Ahora, la instancia de NSX Manager secundaria tiene los identificadores de segmentos universales
importados proporcionados por la instancia de NSX Manager principal y los identificadores de segmentos
locales.
92
VMware, Inc.
Agregar clsteres a la zona de transporte universal

Agregue los clsteres de la instancia de vCenter que est vinculada a la instancia de NSX Manager
secundaria a la zona de transporte universal para permitir que esos clsteres utilicen conmutadores lgicos
universales.
Procedimiento
1
Inicie sesin en la instancia de vCenter vinculada a la instancia de NSX Manager secundaria, desplcese
hasta Inicio (Home) > Redes y seguridad (Networking & Security) > Instalacin (Installation) >
Preparacin de la red lgica (Logical Network Preparation) y, a continuacin, seleccione la pestaa
Zonas de transporte (Transport Zones).
Manager secundaria desde cualquier instancia de vCenter vinculada. Desplcese hasta la pestaa Zonas
de transporte (Transport Zones) y seleccione la instancia de NSX Manager secundaria en el men
desplegable.
VMware, Inc.
Seleccione la zona de transporte universal y haga clic en Acciones (Actions) (

) > Conectar clsteres
(Connect Clusters). Seleccione los clsteres que desea agregar a la zona de transporte universal y haga
clic en Aceptar (OK).
93
94
VMware, Inc.
Despus de configurar las instancias

de NSX Manager primaria y
secundaria
Ahora ya tiene configuradas una instancia de NSX Manager primaria y al menos una instancia de NSX
Manager secundaria. Adems de crear objetos universales desde la instancia NSX Manager primaria, puede
crear objetos locales a ese entorno de vCenter NSX especfico, como conmutadores lgicos y enrutadores
lgicos (distribuidos). Puede crearlos en una instancia de NSX Manager primaria o secundaria. Existirn
solo en el entorno de vCenter NSX en el que se crearon. No sern visibles para las otras instancias de NSX
Manager en el entorno de Cross-vCenter NSX. Adems, puede agregar hosts a los clsteres o quitarlos.
Consulte Gua de administracin de NSX para obtener detalles sobre las tareas administrativas adicionales que
debera completar.
n
Agregar una zona de transporte, pgina 95
Agregar un conmutador lgico, pgina 99
Agregar un enrutador lgico (distribuido), pgina 105
Agregar una puerta de enlace de servicios Edge, pgina 117
Agregar un host a un clster preparado, pgina 127
Quitar un host de un clster NSX preparado, pgina 127
Agregar una zona de transporte

Una zona de transporte controla con qu hosts puede comunicarse un conmutador lgico y puede abarcar
uno o ms clsteres de vSphere. Las zonas de transporte indican qu mquinas virtuales de clster pueden
participar en el uso de una red en particular. Las zonas de transporte se pueden crear en las instancias de
NSX Manager principales y secundarias de un entorno de Cross-vCenter NSX. Tanto las instancias d NSX
Manager principales como las secundarias pueden tener zonas de transporte locales, pero solo las instancias
de NSX Manager principales pueden tener una zona de transporte universal.
Un entorno de NSX puede contener una o ms zonas de transporte segn los requisitos del usuario. Un
clster de hosts puede corresponder a varias zonas de transporte. Un conmutador lgico puede
corresponder a una sola zona de transporte.
NSX no permite conectar mquinas virtuales que se encuentran en diferentes zonas de transporte. La
expansin de un conmutador lgico se limita a una zona de transporte, de modo que las mquinas virtuales
de diferentes zonas de transporte no pueden estar en la misma red de Capa 2. Los enrutadores lgicos
distribuidos no pueden conectarse a conmutadores lgicos que estn en diferentes zonas de transporte.
Despus de desconectar el primer conmutador lgico, la seleccin de otros conmutadores lgicos se limita a
los de la misma zona de transporte. De forma similar, la puerta de enlace de servicios Edge (ESG) tiene
acceso a los conmutadores lgicos desde una sola zona de transporte.
VMware, Inc.
95
Las siguientes directrices ayudan a disear las zonas de transporte:

n
Si un clster requiere conectividad de Capa 3, debe estar en una zona de transporte que tambin
incluya un clster Edge, es decir, un clster con dispositivos Edge de Capa 3 (enrutadores lgicos
distribuidos y puertas de enlace de servicios Edge).
Supongamos que hay dos clsteres: uno para servicios web y otro para servicios de aplicaciones. Para
que haya conectividad VXLAN entre las mquinas virtuales de estos dos clsteres, ambos deben estar
incluidos en la zona de transporte.
Tenga en cuenta que todos los conmutadores lgicos incluidos en la zona de transporte estarn
disponibles y sern visibles para todas las mquinas virtuales de los clsteres incluidos en la zona de
transporte. Si un clster incluye entornos protegidos, quizs no sea conveniente que este clster est
disponible para las mquinas virtuales de otros clsteres. En cambio, puede colocar el clster protegido
en una zona de transporte ms aislada.
La expansin del conmutador distribuido de vSphere (VDS o DVS) debe coincidir con la de la zona de
transporte. Al crear zonas de transporte en configuraciones de VDS de varios clsteres, asegrese de
que todos los clsteres del VDS seleccionado estn incluidos en la zona de transporte. As se garantiza
que el DLR est disponible en todos los clsteres donde hay dvPortgroups de VDS disponibles.
El siguiente diagrama muestra una zona de transporte que est correctamente alineada con el lmite de VDS.
Si no cumple con esta prctica recomendada, tenga en cuenta que si un VDS se expande en ms de un
clster de hosts y la zona de transporte incluye solo uno (o un subconjunto) de estos clsteres, cualquier
conmutador lgico de esa zona de transporte podr acceder a las mquinas virtuales de todos los clsteres
abarcados por el VDS. En otras palabras, la zona de transporte no podr limitar la expansin del
conmutador lgico a un subconjunto de clsteres. Si posteriormente conecta este conmutador lgico a un
DLR, debe asegurarse de que las instancias del enrutador se creen nicamente en el clster incluido en la
zona de transporte, a fin de evitar problemas en la Capa 3.
96
VMware, Inc.
Captulo 8 Despus de configurar las instancias de NSX Manager primaria y secundaria
Por ejemplo, cuando una zona de transporte no est alineada con el lmite del VDS, el alcance de los
conmutadores lgicos (5001, 5002 y 5003) y las instancias del DLR a las que estn conectados quedan
desasociados; esto provoca que las mquinas virtuales del clster Comp A no puedan acceder a las
interfaces lgicas (LIF) del DLR.
Procedimiento
1
2
Haga clic en Zonas de transporte (Transport Zones) y en el icono Nueva zona de transporte (
Transport Zone).
) (New
Por ejemplo:
VMware, Inc.
97
En el cuadro de dilogo Nueva zona de transporte (New Transport Zone), escriba un nombre y una
descripcin (opcional) para la zona de transporte.
Seleccione el modo de plano de control segn tenga un nodo de controladora en el entorno o desee
utilizar direcciones de multidifusin.
Multidifusin (Multicast): para el plano de control se utilizan las direcciones IP de multidifusin

de la red fsica. Este modo se recomienda nicamente para actualizar a partir de implementaciones
de VXLAN anteriores. Se requiere PIM/IGMP en la red fsica.
Unidifusin (Unicast): el plano de control es operado por NSX Controller. El trfico de unidifusin
aprovecha la replicacin de cabecera optimizada. No se requieren direcciones IP de multidifusin
ni ninguna configuracin de red especial.
Hbrido (Hybrid): descarga la replicacin de trfico local en la red fsica (multidifusin de Capa 2).
Para esto se requiere la intromisin de IGMP en el conmutador del primer salto y el acceso a un
solicitante de IGMP en cada subred de VTEP, pero no se requiere tecnologa PIM. El conmutador
del primer salto administra la replicacin de trfico de la subred.
Seleccione los clsteres que desea agregar a la zona de transporte.

Por ejemplo:
98
VMware, Inc.
Ahora que tiene una zona de transporte, puede agregar conmutadores lgicos.
Agregar un conmutador lgico

Tanto las instancias de NSX Manager principales como secundarias pueden tener conmutadores lgicos que
sean locales para el entorno en el que se crean. Los conmutadores universales se crean en zonas de
transporte universales y los conmutadores lgicos se crean en zonas de transporte locales para esa instancia
de NSX Manager.
Al agregar conmutadores lgicos, es importante haber elegido una topologa en particular para el diseo.
Por ejemplo, la siguiente topologa simple muestra dos conmutadores lgicos conectados a un solo
enrutador lgico distribuido (DLR). En este diagrama, cada conmutador lgico est conectado a una sola
mquina virtual. Las dos mquinas virtuales pueden estar en hosts diferentes o en el mismo host, en
clsteres de hosts diferentes o en el mismo clster de hosts. Si un DLR no separa las mquinas virtuales, las
direcciones IP subyacentes configuradas en las mquinas virtuales pueden estar en la misma subred. Si una
DRL las separa, las direcciones IP de las mquinas virtuales deben estar en subredes diferentes (como se
muestra en el ejemplo).
DLR
172.16.20.1
172.16.10.1
Conmutador
lgico
de aplicaciones
Conmutador
lgico
web
172.16.20.10
VM
172.16.10.10
VM
Mquina virtual
de aplicaciones
Mquina virtual
web
Prerequisitos
n
Los conmutadores distribuidos de vSphere deben estar configurados.
Los clsteres de hosts deben estar preparados para NSX.
Debe haber un grupo de identificadores de segmentos configurado.
Debe haber una zona de transporte configurada.
VMware, Inc.
99
Procedimiento
1
2
Haga clic en el icono Nuevo conmutador lgico (
) (New Logical Switch).
Por ejemplo:
Escriba un nombre y una descripcin opcional para el conmutador lgico.
Seleccione la zona de transporte en la que desea crear el conmutador lgico.

De forma predeterminada, el conmutador lgico hereda el modo de replicacin del plano de control de
la zona de transporte. Puede cambiarlo a uno de los otros modos disponibles. Los modos disponibles
son unidifusin, hbrido y multidifusin.
El caso en el que conviene anular el modo de replicacin del plano de control heredado de la zona de
transporte para un conmutador lgico individual es cuando el conmutador lgico que se crea posee
caractersticas significativamente diferentes en trminos de cantidad de trfico BUM que transportar.
En este caso, puede crear una zona de transporte que utilice el modo de unidifusin y utilizar el modo
hbrido o de multidifusin para el conmutador lgico individual.
(Opcional) Haga clic en Habilitar deteccin de direcciones IP (Enable IP Discovery) para habilitar la
supresin de ARP.
Esta configuracin minimiza la saturacin de trfico ARP dentro de segmentos individuales de la
VXLAN; en otras palabras, entre mquinas virtuales conectadas al mismo conmutador lgico. La
deteccin de direcciones IP est habilitada de manera predeterminada.
100
VMware, Inc.
(Opcional) Haga clic en Habilitar deteccin de MAC (Enable MAC learning) si las mquinas virtuales
tienen varias direcciones MAC o van a utilizar NIC virtuales que son VLAN de enlace troncal.
Al habilitar esta opcin, se crea una tabla de emparejamiento de VLAN/MAC en cada vNIC. Esta tabla
se almacena como parte de los datos de dvfilter. Durante la ejecucin de vMotion, dvfilter guarda y
restaura la tabla en la nueva ubicacin. A continuacin, el conmutador emite RARP para todas las
entradas de VLAN/MAC de la tabla.
Este ejemplo muestra el conmutador lgico de aplicaciones con la configuracin predeterminada.
Para asociar una mquina virtual con el conmutador lgico, seleccione el conmutador y haga clic en el
icono Agregar mquina virtual (
) (Add Virtual Machine).
Por ejemplo:
VMware, Inc.
101
Seleccione la mquina virtual y haga clic en el botn de flecha derecha.

Por ejemplo:
Seleccione una vNIC.
Cada conmutador lgico creado recibe un identificador del grupo de identificadores de segmentos, y se crea
una instancia de cableado virtual. El cableado virtual es un dvPortgroup que se crea en cada conmutador
distribuido de vSphere. El descriptor de cableado virtual contiene el nombre del conmutador lgico y el
identificador de segmento del conmutador lgico. Los identificadores de segmentos asignados aparecen en
varios lugares, como se muestra en los siguientes ejemplos.
En Inicio > Redes y seguridad > Conmutadores lgicos (Home > Networking & Security > Logical
Switches):
En Inicio > Redes (Home > Networking):
102
VMware, Inc.
Tenga en cuenta que las instancias de cableado virtual se crean en los conmutadores distribuidos de
vSphere, Compute_VDS y Mgmt_VDS. Esto se debe a que estos dos conmutadores distribuidos de vSphere
pertenecen a la zona de transporte que est asociada con los conmutadores lgicos de aplicaciones y web.
En Inicio > Hosts y clsteres > VM > Resumen (Home > Hosts and Clusters > VM > Summary):
VMware, Inc.
103
En los hosts que ejecutan las mquinas virtuales conectadas al conmutador lgico, inicie sesin y ejecute los
siguientes comandos para ver la informacin de estado y configuracin de la VXLAN local.
n
Muestra los detalles de la VXLAN especficos del host.

~ # esxcli network vswitch dvs vmware vxlan list
VDS ID
VDS Name
MTU
IP
Gateway MAC
Network Count Vmknic Count
----------------------------------------------- ----------- ---------------- ----------------- ------------- -----------88 eb 0e 50 96 af 1d f1-36 fe c1 ef a1 51 51 49 Compute_VDS 1600
192.168.250.1 ff:ff:ff:ff:ff:ff
0
1
Segment ID
Gateway
------------192.168.250.0
NOTA: Si el comando esxcli network vswitch dvs vmware vxlan produce el mensaje de error
"Comando o espacio de nombres desconocidos" ("Unknown command or namespace"), ejecute el
comando /etc/init.d/hostd restart en el host y vuelva a intentarlo.
El nombre de VDS aparece en el conmutador distribuido de vSphere al que est conectado el host.
El identificador de segmento es la red IP utilizada por VXLAN.
La direccin IP de la puerta de enlace es la direccin IP de la puerta de enlace utilizada por VXLAN.
La direccin MAC de la puerta de enlace sigue siendo ff:ff:ff:ff:ff:ff.
El recuento de red sigue siendo 0 a menos que un DLR se asocie al conmutador lgico.
El recuento de Vmknic debe coincidir con la cantidad de mquinas virtuales conectadas al conmutador
lgico.
n
104
Pruebe la conectividad de la interfaz VTEP por IP y compruebe que la MTU haya aumentado para
admitir la encapsulacin de VXLAN. Haga ping en la direccin IP de la interfaz, que se encuentra en la
pgina Administrar > Redes > Conmutadores virtuales (Manage > Networking > Virtual switches) del
host en vCenter Web Client.
VMware, Inc.
La marca -d establece el bit don't-fragment (DF) en los paquetes IPv4. La marca -s establece el tamao
del paquete.
root@esxcomp-02a ~ # vmkping ++netstack=vxlan -d -s 1570 192.168.250.100
PING 192.168.250.100 (192.168.250.100): 1570 data bytes
1578 bytes from 192.168.250.100: icmp_seq=0 ttl=64 time=1.294 ms
--- 192.168.250.100 ping statistics --3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 0.686/0.913/1.294 ms
~ #
root@esxcomp-01a ~ # vmkping ++netstack=vxlan -d -s 1570 192.168.250.101
PING 192.168.250.101 (192.168.250.101): 1570 data bytes
--- 192.168.250.101 ping statistics --2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.065/0.091/0.118 ms
Cree un DLR y ascielo a los conmutadores lgicos para habilitar la conectividad entre las mquinas
virtuales conectadas a otros conmutadores lgicos.
Agregar un enrutador lgico (distribuido)

Los mdulos de kernel del enrutador lgico del host realizan el enrutamiento entre la redes VXLAN y entre
las redes virtual y fsica. Un dispositivo NSX Edge proporciona la capacidad de enrutamiento dinmico,
cuando es necesario. Los enrutadores lgicos pueden crearse tanto en instancias principales como
secundarias de NSX Manager, en un entorno de Cross-vCenter NSX, pero los enrutadores lgicos
universales solo pueden crearse en la instancia principal de NSX Manager.
En la siguiente lista se describen las caractersticas admitidas por tipo de interfaz (interna y de vnculo
superior) en el enrutador lgico:
n
Se admiten protocolos de enrutamiento dinmico (BGP y OSPF) solo en las interfaces de vnculo
superior.
Las reglas de firewall son aplicables solo en las interfaces de vnculo superior, y estn limitadas al
trfico de control y de administracin destinado al dispositivo Edge virtual.
Para obtener ms informacin sobre la interfaz de administracin de DLR, consulte el artculo de la base
de conocimientos relacionado con consideraciones sobre la interfaz de administracin de la mquina
virtual de control del enrutador lgico distribuido (http://kb.vmware.com/kb/2122060).
Prerequisitos
n
Debe tener un clster de controladora operativo en el entorno antes de instalar un enrutador lgico.
Se debe crear un grupo de identificadores de segmentos local aunque no est previsto crear
conmutadores lgicos NSX.
VMware, Inc.
105
Los enrutadores lgicos no pueden distribuir informacin de enrutamiento a hosts sin la ayuda de las
controladoras NSX Controller. Los enrutadores lgicos dependen de las controladoras NSX Controller
para funcionar, mientras que las puertas de enlace de servicios Edge (edge services gateways, ESG) no.
Asegrese de que el clster de controladoras est en funcionamiento y disponible antes de crear o
modificar la configuracin del enrutador lgico.
Si se desea conectar un enrutador lgico a los dvPortgroups de VLAN, asegrese de que todos los hosts
del hipervisor con un dispositivo de enrutador lgico instalado puedan comunicarse entre s en el
puerto UDP 6999 para que funcione el proxy ARP basado en la VLAN del enrutador lgico.
Las interfaces del enrutador lgico y las interfaces puente no pueden conectarse a un dvPortgroup si el
identificador de la VLAN est establecido en 0.
Una instancia de enrutador lgico determinada no puede conectarse a los conmutadores lgicos que
existen en zonas de transporte diferentes. El objetivo de esto es garantizar que todas las instancias de
conmutadores lgicos y enrutadores lgicos estn alineadas.
Los enrutadores lgicos conectados a conmutadores lgicos que abarcan ms de un conmutador

distribuido de vSphere (vSphere distributed switch, VDS) no se pueden conectar a grupos de puertos
respaldados por VLAN. El objetivo de esto es garantizar una correcta alineacin de las instancias de
enrutadores lgicos con los dvPortgroups de conmutadores lgicos en todos los hosts.
No deben crearse interfaces de enrutadores lgicos en dos grupos de puertos distribuidos

(dvPortgroups) diferentes con el mismo identificador de VLAN si las dos redes estn en el mismo
conmutador distribuido de vSphere.
No deben crearse interfaces de enrutadores lgicos en dos dvPortgroups diferentes con el mismo
identificador de VLAN si las dos redes estn en conmutadores distribuidos de vSphere diferentes, pero
los dos conmutadores distribuidos de vSphere comparten los mismos hosts. En otras palabras, pueden
crearse interfaces de enrutadores lgicos en dos redes diferentes con el mismo identificador de VLAN si
los dos dvPortgroups estn en dos conmutadores distribuidos de vSphere diferentes, siempre que los
conmutadores distribuidos de vSphere no compartan un host.
A diferencia de las versiones 6.0 y 6.1 de NSX, la versin 6.2 de NSX permite conectar interfaces lgicas
(logical interfaces, LIF) enrutadas mediante enrutadores a una VXLAN conectada en puente con una
VLAN.
Al seleccionar la colocacin de un dispositivo virtual de un enrutador lgico, evite colocarlo en el

mismo host que uno o varios de sus ESG ascendentes, en caso de que utilice ESG en la configuracin de
ECMP. Puede utilizar reglas de antiafinidad de DRS para aplicar esto, lo que reducir el impacto de los
errores del host en el reenvo de enrutadores lgicos. Estas instrucciones no se aplican si tiene un ESG
ascendente individual o en modo de alta disponibilidad. Para obtener ms informacin, consulte la Gua
de diseo de virtualizacin de redes de VMware NSX for vSphere en
Procedimiento
1
2
3
En vSphere Web Client, desplcese hasta Inicio > Redes y seguridad > NSX Edge (Home > Networking
& Security > NSX Edges).
).
Seleccione Enrutador lgico (distribuido) (Logical [Distributed] Router) y escriba un nombre para el
dispositivo.
Este nombre aparece en el inventario de vCenter. El nombre debe ser nico en todos los enrutadores
lgicos de una sola empresa.
106
VMware, Inc.
De manera opcional, puede introducir una descripcin y especificar la empresa.
Por ejemplo:
(Opcional) Implemente un dispositivo Edge.

La opcin Implementar dispositivo Edge (Deploy Edge Appliance) est seleccionada de forma
predeterminada. Se requiere un dispositivo Edge (tambin denominado dispositivo virtual de
enrutador lgico) para el enrutamiento dinmico y para el firewall del dispositivo de enrutador lgico,
que se aplica a los ping del enrutador, al acceso de SSH y al trfico de enrutamiento dinmico.
Puede desactivar la opcin de dispositivo Edge si necesita solo rutas estticas y no desea implementar
un dispositivo Edge. No puede agregar un dispositivo Edge al enrutador lgico una vez que este
enrutador ya est creado.
(Opcional) Habilite High Availability.

La opcin Habilitar disponibilidad alta (Enable High Availability) no est seleccionada de forma
predeterminada. Marque la casilla de verificacin Habilitar disponibilidad alta (Enable High
Availability) para habilitar y configurar la disponibilidad alta. Se requiere High Availability si su
intencin es utilizar un enrutamiento dinmico.
VMware, Inc.
107
Escriba y vuelva a escribir una contrasea para el enrutador lgico.

La contrasea debe tener entre 12 y 255 caracteres, y debe contener lo siguiente:
Al menos un nmero
(Opcional) Habilite SSH y establezca el nivel de registro.

De forma predeterminada, SSH no est habilitado. Si no habilita SSH, puede abrir la consola del
dispositivo virtual para seguir accediendo al enrutador lgico. Habilitar SSH aqu hace que el proceso
de SSH se ejecute en el dispositivo virtual del enrutador lgico, pero adems ser necesario ajustar
manualmente la configuracin de firewall del enrutador lgico para permitir el acceso de SSH a la
direccin de protocolo del enrutador lgico. La direccin del protocolo se establece cuando se configura
el enrutamiento dinmico en el enrutador lgico.
De forma predeterminada, el registro est en nivel de emergencia.
Por ejemplo:
108
VMware, Inc.
Configure la implementacin.
u
Si no seleccion Implementar NSX Edge (Deploy NSX Edge), el icono Agregar (

atenuado. Haga clic en Siguiente (Next) para continuar con la configuracin.
Si seleccion Implementar NSX Edge (Deploy NSX Edge), introduzca la configuracin del
dispositivo virtual del enrutador lgico que se agregar al inventario de vCenter.
) (Add) est
Por ejemplo:

En los enrutadores lgicos, solo se admiten las direcciones IPv4.
En la seccin Configuracin de la interfaz de HA (HA Interface Configuration), si selecciona la opcin
Implementar NSX Edge (Deploy NSX Edge), debe conectar la interfaz al grupo del puerto distribuido.
Le recomendamos que utilice un conmutador lgico VXLAN para la interfaz de HA. Se elegir una
direccin IP para cada uno de los dos dispositivos NSX Edge en el espacio de direccin local del vnculo
(169.250.0.0/16). No es necesario realizar ms cambios en la configuracin para configurar el servicio de
HA.
NOTA: En versiones anteriores de NSX, la interfaz de HA se denominaba interfaz de administracin.
La interfaz de HA no permite el acceso remoto al enrutador lgico. No es posible habilitar SSH para
acceder a la interfaz de HA desde ningn lugar que no se encuentre en la misma subred IP que la
interfaz de HA. No se pueden configurar rutas estticas que apunten hacia afuera de la interfaz de HA,
lo que significa que RPF descartar el trfico entrante. En teora, se puede deshabilitar RPF, pero esto
sera contraproducente para High Availability. Para SSH, utilice la direccin de protocolo del enrutador
lgico, que se establece posteriormente cuando se configura el enrutamiento dinmico.
En NSX 6.2, la interfaz de HA de un enrutador lgico se excluye automticamente de la redistribucin
de rutas.
En la seccin Configurar interfaces de esta instancia de NSX Edge (Configure interfaces of this NSX
Edge), las interfaces internas estn diseadas para conexiones a conmutadores que permiten la
comunicacin entre mquinas virtuales (a la que a veces se denomina comunicacin este-oeste). Las
interfaces internas se crean como pseudo vNIC en el dispositivo virtual del enrutador lgico. Las
interfaces de vnculo superior se utilizan en la comunicacin de Norte a Sur. Es posible que una interfaz
del vnculo superior del enrutador lgico se conecte a una puerta de enlace de servicios de NSX Edge, a
VMware, Inc.
109
una mquina virtual del enrutador externo de esta o a un dvPortgroup respaldado por VLAN para que
el enrutador lgico se conecte al enrutador fsico directamente. Se debe tener al menos una interfaz de
vnculo superior para que el enrutamiento dinmico funcione. Las interfaces de vnculo superior se
crean como vNIC en el dispositivo virtual del enrutador lgico.
La configuracin de la interfaz especificada en este punto se puede modificar ms adelante. Es posible
agregar, eliminar y modificar interfaces despus de implementar un enrutador lgico.
El siguiente ejemplo muestra una interfaz de HA conectada al grupo de puertos distribuidos de
administracin. El ejemplo tambin muestra dos interfaces internas (aplicacin y web) y una interfaz de
vnculo superior (a ESG).
110
VMware, Inc.
10
Configure una puerta de enlace predeterminada.

Por ejemplo:
11
Asegrese de que todas las mquinas virtuales asociadas a los conmutadores lgicos tengan sus puertas
de enlace predeterminadas establecidas adecuadamente en las direcciones IP de la interfaz del
enrutador lgico.
En el siguiente ejemplo de topologa, la puerta de enlace predeterminada de la mquina virtual de la

aplicacin debe ser 172.16.20.1. La puerta de enlace predeterminada de la mquina virtual web debe ser
172.16.10.1. Compruebe que las mquinas virtuales puedan hacer ping en sus puertas de enlace
predeterminadas y entre s.
VMware, Inc.
111
Inicie sesin en NSX Manager mediante SSH y ejecute los siguientes comandos:
n
Vea un listado con toda la informacin de la instancia del enrutador lgico.

nsxmgr-l-01a> show logical-router list all
Edge-id
Vdr Name
edge-1
default+edge-1
Vdr id
0x00001388
#Lifs
3
Vea un listado de los hosts que recibieron informacin de enrutamiento para el enrutador lgico del
clster de controladoras.
nsxmgr-l-01a> show logical-router list dlr edge-1 host
ID
HostName
host-25
192.168.210.52
host-26
192.168.210.53
host-24
192.168.110.53
En el resultado se incluyen todos los hosts de todos los clsteres de hosts configurados como miembros
de la zona de transporte a la que pertenece el conmutador lgico que est conectado al enrutador lgico
especificado (en este ejemplo, edge-1).
n
Vea un listado con la informacin de la tabla de enrutamiento que se comunica a los hosts mediante el
enrutador lgico. Las entradas de la tabla de enrutamiento deben ser coherentes en todos los hosts.
nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 route
VDR default+edge-1 Route Table
Legend: [U: Up], [G: Gateway], [C: Connected], [I: Interface]
Legend: [H: Host], [F: Soft Flush] [!: Reject] [E: ECMP]
Destination
----------0.0.0.0
172.16.10.0
172.16.20.0
192.168.10.0
192.168.100.0
112
GenMask
------0.0.0.0
255.255.255.0
255.255.255.0
255.255.255.248
255.255.255.0
Gateway
------192.168.10.1
0.0.0.0
0.0.0.0
0.0.0.0
192.168.10.1
Flags
----UG
UCI
UCI
UCI
UG
Ref
--1
1
1
1
1
Origin
-----AUTO
MANUAL
MANUAL
MANUAL
AUTO
UpTime
-----4101
10195
10196
10196
3802
Interface
--------138800000002
13880000000b
13880000000a
138800000002
138800000002
VMware, Inc.
Vea un listado con informacin adicional sobre el enrutador desde el punto de vista de uno de los hosts.
Esto es til para saber qu controlador es est comunicando con el host.
nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 verbose
VDR Instance Information :
--------------------------Vdr Name:
Vdr Id:
Number of Lifs:
Number of Routes:
State:
Controller IP:
Control Plane IP:
Control Plane Active:
Num unique nexthops:
Generation Number:
Edge Active:
default+edge-1
0x00001388
3
5
Enabled
192.168.110.203
192.168.210.52
Yes
1
0
No
Compruebe el campo Direccin IP de controladora (Controller IP) en el resultado del comando show
logical-router host host-25 dlr edge-1 verbose.
Acceda a una controladora mediante SSH y ejecute los siguientes comandos para mostrar la informacin de
estado adquirida de las tablas de VNI, VTEP, MAC y ARP de la controladora.
n

VNI
Controller
5000
192.168.110.201 Enabled
Enabled
0
La salida para VNI 5000 muestra cero conexiones y la controladora 192.168.110.201 como propietaria de
VNI 5000. Inicie sesin en esa controladora para recopilar ms informacin de VNI 5000.
VNI
Controller
5000
192.168.110.201 Enabled
Enabled
3
El resultado en 192.168.110.201 muestra tres conexiones. Compruebe las VNI adicionales.

VNI
Controller
5001
192.168.110.201 Enabled
Enabled
3
VNI
Controller
5002
192.168.110.201 Enabled
Enabled
3
Debido a que 192.168.110.201 es propietaria de las tres conexiones de VNI, se esperaran ver cero
conexiones en la otra controladora 192.168.110.203.
VNI
Controller
5000
192.168.110.201 Enabled
Enabled
0
n
VMware, Inc.
Antes de comprobar las tablas de MAC y ARP, comience a hacer ping de una mquina virtual a la otra.
113
Desde la mquina virtual de la aplicacin a la mquina virtual web:
Revise las tablas de MAC.

VNI
MAC
VTEP-IP
Connection-ID
5000
00:50:56:a6:23:ae 192.168.250.52 7
VNI
MAC
VTEP-IP
Connection-ID
5001
00:50:56:a6:8d:72 192.168.250.51 23
Revise las tablas de ARP.

VNI
IP
MAC
Connection-ID
5000
172.16.20.10
00:50:56:a6:23:ae 7
VNI
IP
MAC
Connection-ID
5001
172.16.10.10
00:50:56:a6:8d:72 23
Revise la informacin del enrutador lgico. Cada instancia del enrutador lgico se procesa en uno de los
nodos de la controladora.
El subcomando instance del comando show control-cluster logical-routers muestra un listado de los
enrutadores lgicos que estn conectados a esta controladora.
El subcomando interface-summary muestra un listado de las LIF que la controladora adquiri de NSX
Manager. Esta informacin se enva a los hosts que estn en los clsteres de hosts administrados en la zona
de transporte.
El subcomando routes muestra la tabla de enrutamiento que se enva a esta controladora mediante el
dispositivo virtual del enrutador lgico (tambin se conoce como mquina virtual de control). Tenga en
cuenta que, a diferencia de los hosts ESXi, esta tabla de enrutamiento no incluye subredes conectadas
directamente, ya que la configuracin de LIF proporciona esta informacin. La informacin de ruta de los
hosts ESXi incluye subredes conectadas directamente porque, en ese caso, se trata de una tabla de reenvo
utilizada por la ruta de datos del host ESXi.
n
controller # show control-cluster logical-routers instance all

LR-Id
LR-Name
Universal Service-Controller Egress-Locale
0x1388
default+edge-1
false
192.168.110.201
local
Anote el identificador de LR y utilcelo en el siguiente comando.

n
114
controller # show control-cluster logical-routers interface-summary 0x1388

Interface
Type
Id
IP[]
13880000000b
vxlan 0x1389
172.16.10.1/24
13880000000a
vxlan 0x1388
172.16.20.1/24
138800000002
vxlan 0x138a
192.168.10.2/29
VMware, Inc.
controller # show control-cluster logical-routers routes 0x1388

Destination
Next-Hop[]
Preference Locale-Id
Source
192.168.100.0/24
192.168.10.1
110
00000000-0000-0000-0000-000000000000 CONTROL_VM
0.0.0.0/0
192.168.10.1
0
00000000-0000-0000-0000-000000000000 CONTROL_VM
[root@comp02a:~]
VMkernel Routes:
Network
10.20.20.0
192.168.210.0
default
esxcfg-route -l
Netmask
255.255.255.0
255.255.255.0
0.0.0.0
Gateway
Local Subnet
Local Subnet
192.168.210.1
Interface
vmk1
vmk0
vmk0
Muestre las conexiones de la controladora a la VNI especfica.

192.168.110.203
Host-IP
192.168.110.53
192.168.210.52
192.168.210.53

Port ID
26167 4
27645 5
40895 6
192.168.110.202
Host-IP
192.168.110.53
192.168.210.52
192.168.210.53

Port ID
26167 4
27645 5
40895 6
Estas direcciones IP de hosts son interfaces vmk0, no VTEP. Las conexiones entre hosts y controladoras
ESXi se crean en la red de administracin. Aqu los nmeros de puerto son puertos TCP efmeros que
asigna la pila de direcciones IP del host ESXi cuando el host establece una conexin con la controladora.
n
En el host, puede ver la conexin de red de la controladora vinculada al nmero de puerto.

[root@192.168.110.53:~] #esxcli network ip connection list | grep 26167
tcp
0
0 192.168.110.53:26167
192.168.110.101:1234
ESTABLISHED
96416 newreno netcpa-worker
Muestre las VNI activas en el host. Observe que el resultado es diferente entre los hosts. No todas las
VNI estn activas en todos los hosts. Una VNI est activa en un host si ese host posee una mquina
virtual conectada al conmutador lgico.
[root@192.168.210.52:~] # esxcli network vswitch dvs vmware vxlan network list --vds-name
Compute_VDS
VXLAN ID Multicast IP
Control Plane
Controller
Connection Port Count MAC Entry Count ARP Entry Count VTEP Count
-------- ------------------------- ------------------------------------------------------- ---------- --------------- --------------- ---------5000 N/A (headend replication) Enabled (multicast proxy,ARP proxy) 192.168.110.203
(up)
5001
(up)
1
0
N/A (headend replication)
1
0
0
0
Enabled (multicast proxy,ARP proxy)
0
0
192.168.110.202
NOTA: Para habilitar el espacio de nombres vxlan en vSphere 6 y versiones posteriores, ejecute el
comando /etc/init.d/hostd restart.
En el caso de conmutadores lgicos en modo hbrido o de unidifusin, el comando esxcli network
vswitch dvs vmware vxlan network list --vds-name <vds-name> debe contener el siguiente resultado:
VMware, Inc.
El plano de control est habilitado.
El proxy de multidifusin y el proxy ARP aparecen en el listado. El proxy AARP aparece en el

listado aunque se haya deshabilitado la deteccin de direcciones IP.
115
Una direccin IP de controladora vlida aparece en el listado y la conexin est activa.
Si un enrutador lgico est conectado al host ESXi, el recuento de puertos es al menos 1, incluso si
no hay mquinas virtuales en el host conectado al conmutador lgico. Este puerto es vdrPort, que
es un puerto dvPort especial conectado al mdulo del kernel del enrutador lgico en el host ESXi.
En primer lugar, haga ping de una mquina virtual a otra en una subred diferente y, a continuacin,
muestre la tabla de MAC. Tenga en cuenta que la MAC interna es la entrada de la mquina virtual,
mientras que la MAC externa y la direccin IP externa se refieren a la VTEP.
~ # esxcli network
id=5000
Inner MAC
----------------00:50:56:a6:23:ae
~ # esxcli network
id=5001
Inner MAC
----------------02:50:56:56:44:52
00:50:56:f0:d7:e4
----------------00:50:56:6a:65:c2
Outer IP
-------------192.168.250.52
Flags
-------00000111
----------------00:50:56:6a:65:c2
00:50:56:6a:65:c2
Outer IP
-------------192.168.250.52
192.168.250.52
Flags
-------00000101
00000111
Despus de implementar el enrutador lgico, haga doble clic en el identificador del enrutador lgico para
configurar opciones adicionales, como interfaces, enrutamiento, firewall, puentes y rel DHCP.
Por ejemplo:
116
VMware, Inc.
Agregar una puerta de enlace de servicios Edge

Puede instalar varios dispositivos virtuales de puertas de enlace de servicios NSX Edge en un centro de
datos. Cada dispositivo virtual NSX Edge puede tener un total de diez interfaces de red de internas y de
vnculo superior. Las interfaces internas se conectan a grupos de puertos protegidos y actan como puerta
de enlace para todas las mquinas virtuales protegidas del grupo de puertos. La subred asignada a la
interfaz interna puede ser una direccin IP enrutada pblicamente o un espacio de direcciones privado (RFC
1918) con uso de NAT. Las reglas de firewall y otros servicios NSX Edge se aplican sobre el trfico entre
interfaces.
Las interfaces de vnculo superior de una ESG se conectan a grupos de puertos de vnculo superior que
tienen acceso a una red compartida de la empresa o a un servicio que ofrece redes de capa de acceso.
En la siguiente lista se describen las caractersticas admitidas por tipo de interfaz (interna y de vnculo
superior) en la ESG:
n
DHCP: no se admite en la interfaz de vnculo superior.
Reenviador de DNS: no se admite en la interfaz de vnculo superior.
HA: no se admite en la interfaz de vnculo superior, requiere al menos una interfaz interna.
VPN SSL: la direccin IP del agente de escucha debe pertenecer a la interfaz de vnculo superior.
VPN IPsec: la direccin IP del sitio local debe pertenecer a la interfaz de vnculo superior.
VPN de capa 2: solo las redes internas pueden ampliarse.
En la siguiente imagen se muestra una topologa de ejemplo con una interfaz de vnculo superior de ESG
conectada a la infraestructura fsica mediante el conmutador distribuido de vSphere, y la interfaz interna de
ESG conectada a un enrutador lgico de NSX mediante un conmutador de trnsito lgico de NSX.
VMware, Inc.
117
vSphere
Distributed
Switch
ESG
192.168.100.3
Tipo de vnculo:
vnculo superior
192.168.10.1
Arquitectura
fsica
192.168.100.1
Conmutador
lgico
de trnsito
192.168.10.2
Tipo de vnculo:
vnculo superior
Direccin del protocolo:
192.168.10.3
DLR
172.16.20.1
Conmutador
lgico
de aplicaciones
172.16.10.1
Conmutador
lgico
web
172.16.20.10
VM
Mquina virtual
de aplicaciones
172.16.10.10
VM
Mquina virtual
web
Pueden configurarse varias direcciones IP para equilibrio de carga, VPN de sitio a sitio y servicios de NAT.
Prerequisitos
Compruebe que el grupo de recursos tenga capacidad suficiente para implementar el dispositivo virtual de
la puerta de enlace de servicios Edge (edge services gateway, ESG) . Consulte Requisitos del sistema para
NSX, pgina 25.
118
VMware, Inc.
Procedimiento
1
En vCenter, desplcese hasta Inicio > Redes y seguridad > NSX Edge (Home > Networking & Security
> NSX Edges) y haga clic en el icono Agregar (Add) (
).
Seleccione Puerta de enlace de servicios Edge (Edge Services Gateway) y escriba un nombre para el
dispositivo.
Este nombre aparece en el inventario de vCenter. El nombre debe ser nico en todas las ESG de una
misma empresa.
De manera opcional, puede introducir una descripcin y una empresa, y habilitar High Availability.
Por ejemplo:
Escriba y vuelva a escribir una contrasea para ESG.

La contrasea debe tener al menos 12 caracteres y cumplir con al menos 3 de las siguientes 4 reglas:
VMware, Inc.
Al menos un nmero
119
(Opcional) Habilite SSH, High Availability y la generacin automtica de reglas, y establezca el nivel de
registro.
Si no habilita la generacin automtica de reglas, debe agregar manualmente la configuracin de
firewall, NAT y enrutamiento para permitir el control de trfico para ciertos servicios NSX Edge,
incluidos el equilibrio de carga y VPN. La generacin automtica de reglas no crea reglas para trfico de
canal de datos.
De forma predeterminada, las opciones SSH y High Availability estn deshabilitadas, y la generacin
automtica de reglas est habilitada. De forma predeterminada, el registro est en nivel de emergencia.
De forma predeterminada, el registro est habilitado en todos los dispositivos NSX Edge nuevos. El
nivel de registro predeterminado es NOTICE (ATENCIN).
Por ejemplo:
Seleccione el tamao de la instancia NSX Edge en funcin de los recursos del sistema.
La opcin Large NSX Edge tiene ms CPU, memoria y espacio en disco que la opcin Compact NSX
Edge, y admite una mayor cantidad de componentes de usuarios VPN SSL-Plus simultneos. La opcin
X-Large NSX Edge es ideal para entornos que tienen un equilibrador de carga con millones de sesiones
simultneas. La opcin Quad Large NSX Edge se recomienda cuando es necesaria una gran capacidad
de proceso y requiere una alta velocidad de conexin.
Consulte Requisitos del sistema para NSX, pgina 25.
120
VMware, Inc.
Cree un dispositivo Edge.

Introduzca la configuracin del dispositivo virtual de la ESG que se agregar al inventario de vCenter.
Si no agrega un dispositivo al instalar NSX Edge, NSX Edge permanece en modo sin conexin hasta que
se agrega un dispositivo.
Si habilit HA, puede agregar dos dispositivos. Si agrega un solo dispositivo, NSX Edge replica su
configuracin para el dispositivo en espera y garantiza que las dos mquinas virtuales NSX Edge con
HA no estn en el mismo host ESX incluso despus de utilizar DRS y vMotion (a menos que la migre
manualmente con vMotion al mismo host). Para que HA funcione correctamente, debe implementar los
dos dispositivos en un almacn de datos compartido.
Por ejemplo:
Seleccione Implementar NSX Edge (Deploy NSX Edge) y agregue el dispositivo Edge en un modo
implementado. Debe configurar dispositivos e interfaces para el dispositivo Edge para poder
implementarlo.

En ESG, se admiten las direcciones IPv4 e IPv6.
Debe agregar al menos una interfaz interna para que HA funcione.
Una interfaz puede tener varias subredes no superpuestas.
Si introduce ms de una direccin IP para una interfaz, puede seleccionar la direccin IP principal. Un
interfaz puede tener una direccin IP principal y varias secundarias. NSX Edge considera la direccin IP
principal como la direccin de origen para el trfico generado localmente, por ejemplo, servidores de
Syslog remotos y pings iniciados por el operador.
Debe agregar una direccin IP con una interfaz antes de utilizarla en cualquier configuracin de
caractersticas.
De manera opcional, puede introducir la direccin MAC de la interfaz.
Si HA est habilitado, puede introducir dos direcciones IP de administracin en formato CIDR si lo
desea. Los latidos de las dos mquinas virtuales NSX Edge con HA se comunican por medio de estas
direcciones IP de administracin. Las direcciones IP de administracin deben estar en la misma Capa
2/subred y poder comunicarse entre s.
De manera opcional, puede modificar la MTU.
Habilite el ARP de proxy si desea permitir que la ESG responda a las solicitudes de ARP dirigidas a
otras mquinas. Esto es til, por ejemplo, cuando tiene la misma subred en ambos lados de una
conexin WAN.
Habilite la redireccin de ICMP para transmitir la informacin de enrutamiento a los hosts.
VMware, Inc.
121
Habilite el filtrado inverso de rutas para comprobar la posibilidad de conexin de la direccin de origen
en los paquetes que se reenvan. En el modo habilitado, el paquete debe recibirse en la interfaz que el
enrutador utilizara para reenviar el paquete de retorno. En el modo flexible, la direccin de origen debe
aparecer en la tabla de enrutamiento.
Configure parmetros de contencin si desea volver a utilizar las direcciones IP y MAC en diferentes
entornos contenidos. Por ejemplo, en una Cloud Management Platform (CMP), la contencin permite
ejecutar varias instancias de nube simultneas con las mismas direcciones IP y MAC completamente
aisladas o contenidas.
Por ejemplo:
122
VMware, Inc.
En el siguiente ejemplo se muestran dos interfaces: una conecta la ESG con el mundo exterior mediante
un grupo de puertos de vnculo superior en un conmutador distribuido de vSphere, mientras que la
otra conecta la ESG a un conmutador lgico de trnsito al cual tambin est conectado un enrutador
lgico distribuido.
VMware, Inc.
123
Configure una puerta de enlace predeterminada.

Puede editar el valor de MTU, pero este no puede ser mayor que el valor de MTU configurado en la
interfaz.
Por ejemplo:
10
Configure la directiva de firewall, el registro y los parmetros de HA.

ADVERTENCIA: Si no configura la directiva de firewall, se establece la directiva predeterminada para
denegar todo el trfico.
De forma predeterminada, los registros estn habilitados en todos los dispositivos NSX Edge nuevos. El
nivel de registro predeterminado es NOTICE (ATENCIN). Si los registros se almacenan de forma local
en la ESG, es posible que el proceso de registro genere demasiados registros y afecte al rendimiento de
NSX Edge. Por este motivo, le recomendamos que configure los servidores syslog remotos y reenve los
registros a un recopilador centralizado para que se analicen y se supervisen.
Si habilit High Availability, complete la seccin HA. De forma predeterminada, HA selecciona
automticamente una interfaz interna y asigna automticamente direcciones IP de vnculo locales. NSX
Edge admite dos mquinas virtuales para High Availability, que permanecen actualizadas con
configuraciones del usuario. Si se produce un error de latido en la mquina virtual principal, el estado
124
VMware, Inc.
de la mquina virtual secundaria cambia a activo. De esa manera, una mquina virtual NSX Edge
siempre est activa en la red. NSX Edge replica la configuracin del dispositivo principal para el
dispositivo en espera y garantiza que las dos mquinas virtuales NSX Edge con HA no estn en el
mismo host ESX, incluso despus de utilizar DRS y vMotion. En vCenter, se implementan dos
mquinas virtuales en el mismo grupo de recursos y almacn de datos que el dispositivo configurado.
Se asignan direcciones IP de vnculo locales a mquinas virtuales con HA en NSX Edge HA para que
puedan comunicarse entre s. Seleccione la interfaz interna para la cual desea configurar parmetros de
HA. Si selecciona el valor CUALQUIERA (ANY) para la interfaz, pero no hay interfaces internas
configuradas, la interfaz de usuario no muestra un error. Se crean dos dispositivos Edge, pero como no
hay una interfaz interna configurada, el dispositivo Edge nuevo permanece en espera y se deshabilita
HA. Una vez que se configura una interfaz interna, HA se vuelve a habilitar en el dispositivo Edge.
Escriba el perodo en segundos dentro del cual, si el dispositivo de copia de seguridad no recibe una
seal de latido del dispositivo principal, este se considera inactivo y el dispositivo de copia de
seguridad lo reemplaza. El intervalo predeterminado es 15 segundos. De manera opcional, puede
introducir dos direcciones IP de administracin en formato CIDR para anular las direcciones IP de
VMware, Inc.
125
vnculo locales asignadas a las mquinas virtuales con HA. Asegrese de que las direcciones IP de
administracin no se superpongan con las direcciones IP utilizadas para ninguna otra interfaz, y que no
interfieran con el enrutamiento de trfico. No debe utilizar una direccin IP que exista en otro lugar de
la red, ni siquiera si esa red no est conectada directamente con NSX Edge.
Por ejemplo:
Despus de implementar ESG, vaya a la vista Hosts y clsteres (Hosts and Clusters) y abra la consola del
dispositivo virtual Edge. Desde la consola, compruebe si puede hacer ping en las interfaces conectadas.
Ahora puede configurar el enrutamiento para permitir la conectividad de los dispositivos externos a las
mquinas virtuales.
126
VMware, Inc.
Agregar un host a un clster preparado

En esta seccin se describe la forma de agregar un host a un clster preparado para la virtualizacin de red.
Procedimiento
1
Agregue el host a vCenter Server como host independiente.

Consulte la documentacin de ESXi y vCenter Server 5.5.
Agregue el host al conmutador vSphere Distributed Switch asignado al clster donde desea agregar el
host.
Todos los hosts en el clster deben estar en el conmutador vSphere Distributed Switch que aprovecha
NSX.
Coloque el host en modo de mantenimiento.
Agregue el host al clster.

Debido a que se trata de un clster preparado, el software requerido se instala automticamente en el
host recientemente agregado.
Quite el host del modo de mantenimiento.

DRS equilibra las mquinas virtuales en el host.
Quitar un host de un clster NSX preparado

En esta seccin se describe cmo quitar un host de un clster preparado para la virtualizacin de red. Es
posible que desee hacer esto si, por ejemplo, decide que el host no formar parte de NSX.
Procedimiento
1
Coloque el host en modo de mantenimiento y espere a que el DRS evacue el host o realice una
migracin manual con vMotion de las mquinas virtuales en ejecucin desde el host.
Quite los hosts del clster preparado movindolos a un clster no preparado o convirtindolos en hosts
independientes fuera de cualquier clster.
NSX desinstala los componentes de virtualizacin de red y las mquinas virtuales de servicio del host.
Para que el cambio se aplique, mueva o detenga todas las mquinas virtuales, coloque el host en modo
de mantenimiento y reinicie el host.
De manera opcional, puede aplazar el reinicio hasta una ventana de mantenimiento.
Los VIB de NSX se quitan del host. Para comprobarlo, acceda al host mediante SSH y ejecute el comando
esxcli software vib list | grep esx. Compruebe que en el host no estn presentes los VIB siguientes:
n
esx-vsip
esx-vxlan
Si los VIB permanecen en el host, es posible que sea conveniente ver los registros para determinar por qu
no funcion la eliminacin de VIB automtica.
Puede quitar los VIB manualmente si ejecuta los comandos siguientes:
n
esxcli software vib remove --vibname=esx-vxlan
esxcli software vib remove --vibname=esx-vsip
IMPORTANTE: Despus de ejecutar estos comandos, debe reiniciar el host para que el cambio se aplique.
VMware, Inc.
127
128
VMware, Inc.
Desinstalar componentes de NSX
En este captulo se detallan los pasos necesarios para desinstalar los componentes de NSX desde el
inventario de vCenter.
NOTA: No elimine los dispositivos NSX directamente desde vCenter. Administre y elimine siempre los
dispositivos NSX a travs de la pestaa Redes y seguridad (Networking and Security) de
vSphere Web Client.
n
Desinstalar un enrutador lgico distribuido o una puerta de enlace de servicios NSX Edge,
pgina 129
Desinstalar un conmutador lgico, pgina 129
Quitar una instalacin de NSX de forma segura, pgina 130
Desinstalar un enrutador lgico distribuido o una puerta de enlace de

servicios NSX Edge
Puede desinstalar una instancia de NSX Edge con vSphere Web Client.
Prerequisitos
Se le debe haber asignado el rol de administrador de Enterprise o administrador de NSX.
Procedimiento
1
Haga clic en Redes y seguridad (Networking & Security) y, a continuacin, en Instancias de NSX Edge
(NSX Edges).
Seleccione una instancia de NSX Edge y haga clic en el icono Eliminar (Delete) (
).
Desinstalar un conmutador lgico

Puede desinstalar un conmutador lgico con vSphere Web Client.
Prerequisitos
Se le debe haber asignado el rol de administrador de Enterprise o administrador de NSX.
VMware, Inc.
129
Procedimiento
1
Seleccione un conmutador lgico y quite todas las mquinas virtuales asociadas haciendo clic en el
icono Quitar mquina virtual (Remove Virtual Machine).
Por ejemplo:
Con el conmutador lgico seleccionado, haga clic en el icono Eliminar (Delete) (
).
Quitar una instalacin de NSX de forma segura

Una desinstalacin completa de NSX quita los VIB del host, las instancias de NSX Manager, las
controladoras, toda la configuracin de VXLAN, los conmutadores lgicos, los enrutadores lgicos, el
firewall de NSX y el complemento NSX de vCenter. Procure seguir los pasos para todos los hosts del clster.
VMware recomienda desinstalar los componentes de virtualizacin de red de un clster antes de quitar el
complemento NSX de vCenter Server.
Para quitar NSX por completo es necesario reiniciar dos veces el host. El primer reinicio se requiere despus
de desinstalar los VIB de NSX. El segundo reinicio se requiere despus de quitar los VTEP del host y los
dvPortgroups utilizados para los VTEP.
NOTA: No elimine los dispositivos NSX directamente desde vCenter. Administre y elimine siempre los
dispositivos NSX a travs de la pestaa Redes y seguridad (Networking and Security) de
vSphere Web Client.
Si desea quitar NSX de los hosts individuales (y no de todo el clster), consulte Quitar un host de un
clster NSX preparado, pgina 127.
Prerequisitos
130
Quite todas las soluciones de partners registradas, al igual que los servicios de extremo, antes de
revertir la preparacin del host para que las mquinas virtuales de servicio del clster se quiten
correctamente.
Elimine todas las instancias de NSX Edge. Consulte Desinstalar un enrutador lgico distribuido o una
puerta de enlace de servicios NSX Edge, pgina 129.
Desconecte las mquinas virtuales en la zona de transporte de los conmutadores lgicos y elimine los
conmutadores lgicos. Consulte Desinstalar un conmutador lgico, pgina 129.
VMware, Inc.
Captulo 9 Desinstalar componentes de NSX
Procedimiento
1
Quite el clster de su zona de transporte.

Vaya a Preparacin de red lgica > Zonas de transporte (Logical Network Preparation > Transport
Zones) y desconecte el clster de la zona de transporte.
Si el clster aparece atenuado y no puede desconectarlo de la zona de transporte, esto puede deberse a
que 1) un host del clster est desconectado o no est encendido o 2) el clster puede contener una o
ms mquinas virtuales o dispositivos que estn asociados a la zona de transporte. Por ejemplo, si el
host se encuentra en un clster de administracin y tiene instaladas controladoras NSX Controller,
primero quite o mueva las controladoras.
Elimine la zona de transporte.
Elimine la configuracin de VXLAN del clster.

Por ejemplo:
Revierta la preparacin del host con la desinstalacin de los VIB de NSX.

Seleccione uno de los mtodos siguientes para desinstalar los VIB de NSX. Las primeras dos opciones
desinstalan los VIB de NSX de todos los hosts de un clster. Las ltimas dos opciones desinstalan los
VIB de a un host por vez.
n
En vCenter Web Client, vaya a Redes y seguridad > Instalacin > Preparacin del host
(Networking & Security > Installation > Host Preparation) y haga clic en Desinstalar (Uninstall).
En vCenter Web Client, vaya a Administracin > Extensiones de vCenter Server > vSphere ESX
Agent Manager (Administration > vCenter Server Extensions > vSphere ESX Agent Manager). En
la pestaa Administracin (Management), haga clic con el botn derecho en la agencia VCNS y
seleccione Eliminar agencia (Delete Agency).
Por ejemplo:
VMware, Inc.
131
Mueva el host de un clster preparado a un clster no preparado.
En el host, ejecute los comandos siguientes:

n
esxcli software vib remove --vibname=esx-vxlan
esxcli software vib remove --vibname=esx-vsip
Reinicie los hosts.

Si se quitan los VIB de un host, es necesario reiniciar el host. El reinicio necesario no ocurre
automticamente. Cuando es necesario reiniciar el host, aparece la etiqueta (reinicio necesario) (reboot
required) en la vista Hosts y clsteres (Hosts and Clusters). Por ejemplo:
Utilice uno de los procedimientos siguientes para reiniciar los hosts.
132
Reinicie el host manualmente.
Seleccione el clster y haga clic en la accin Resolver (Resolve). Esta accin reinicia todos los hosts
del clster. Si el clster tiene DRS habilitado, el DRS intenta reiniciar los hosts de manera
controlada para que las mquinas virtuales continen en ejecucin. Si se produce un error en el
DRS por cualquier motivo, se detiene la accin Resolver (Resolve). En este caso, es posible que
deba mover las mquinas virtuales manualmente y, a continuacin, volver a intentar la accin
Resolver (Resolve) o reiniciar los hosts manualmente.
VMware, Inc.
Elimine el dispositivo NSX Manager y todas las mquinas virtuales del dispositivo NSX Controller del
disco.
Quite todas las interfaces vmkernel de VTEP que hayan quedado.

Por ejemplo:
Por lo general, las interfaces vmkernel de VTEP ya se eliminan como resultado de las operaciones de
desinstalacin anteriores.
8
Quite todos los dvPortgroups utilizados para los VTEP que hayan quedado.
Por ejemplo:
VMware, Inc.
133
Por lo general, los dvPortgroups utilizados para los VTEP ya se eliminan como resultado de las
operaciones de desinstalacin anteriores.
9
Reinicie los hosts.
10
Para la instancia de vCenter en la que desea quitar el complemento de NSX Manager, inicie sesin en el
explorador de objetos administrados en https://your_vc_server/mob.
11
Haga clic en Contenido (Content).

Por ejemplo:
134
VMware, Inc.
12
Haga clic en AdministradorDeExtensiones (ExtensionManager).
13
Haga clic en CancelarRegistroDeExtensin (UnregisterExtension)
VMware, Inc.
135
14
Escriba la cadena com.vmware.vShieldManager y haga clic en Invocar mtodo (Invoke Method).
15
Si va a ejecutar vSphere 6 vCenter Appliance, inicie la consola y habilite el shell de BASH en Opciones
de modo de solucin de problemas (Troubleshooting Mode Options).
Otro modo de habilitar el shell de BASH es iniciar sesin como raz y ejecutar el comando shell.set - enabled true.
16
Elimine los directorios de vSphere Web Client para NSX y, a continuacin, reinicie el servicio Web
Client.
Los directorios de vSphere Web Client para NSX se denominan com.vmware.vShieldManager.** y se
encuentran en las ubicaciones siguientes:
n
136
vCenter Server 5.x

n
Windows 2003: %ALLUSERSPROFILE%\Application Data\VMware\vSphere Web Client\vcpackages\vsphere-client-serenity\
Windows 2008/2012: %ALLUSERSPROFILE%\VMware\vSphere Web Client\vcpackages\vsphere-client-serenity\
VMware, Inc.
VMware vCenter Server Appliance: /var/lib/vmware/vsphere-client/vc-packages/vsphereclient-serenity/
vCenter Server 6.0.x

n
Windows 2008/2012: C:\ProgramData\VMware\vCenterServer\cfg\vsphere-client\vcpackages\vsphere-client-serenity\
VMware vCenter Server Appliance: /etc/vmware/vsphere-client/vc-packages/vsphere-clientserenity/
Para vCenter Server Appliance, ejecute el comando service vsphere-client restart en el shell del
dispositivo.
Para vCenter basado en Windows, ejecute services.msc, haga clic con el botn derecho en vSphere Web
Client y haga clic en Iniciar (Start).
Se quita el complemento de NSX Manager de vCenter. Para confirmarlo, cierre sesin en vCenter y vuelva a
iniciarla.
El icono Redes y seguridad (Networking & Security) del complemento de NSX Manager ya no aparece en la
pantalla de inicio de vCenter Web Client.
VMware, Inc.
137
Vaya a Administracin > Complementos de clientes (Administration > Client Plug-Ins) y compruebe que la
lista de complementos no incluya el Complemento de interfaz de usuario de NSX (NSX User Interface
plugin).
138
VMware, Inc.
ndice
C
clster, agregar host 127
conmutador lgico
agregar 99
conectar mquinas virtuales a 75
desinstalar 129
conmutador lgico universal, agregar 73
Cross-vCenter NSX
descripcin general 15
matriz de compatibilidad 17
topologas 20
cuenta de usuario, single sign-on 46
D
desinstalar
componentes de virtualizacin de red 130
conmutador lgico 129
firewall 130
NSX Edge 129
E
Enhanced Linked Mode 40
enrutador lgico (distribuido) universal,
agregar 75
F
firewall, excluir mquinas virtuales 53
G
grupo de identificadores de segmentos
asignar a NSX Manager principal 67
instancia de NSX Manager secundaria 92
NSX Manager principal 67
universal 71
H
host, agregar a un clster 127
I
instalacin
licencias 52
NSX Manager 41
instalar, NSX Edge 117
instancia de NSX Manager secundaria
asignar grupo de identificadores de
segmentos 92
VMware, Inc.
preparacin del host 89

registrar 87
introduccin, NSX 8
L
licencias, instalacin 52
N
NSX
descripcin general 7
plano de administracin 10
plano de control 9
plano de datos 9
plataforma de consumo 11
servicios 13
NSX Edge
desinstalar 129
instalacin 117
licencias 52
NSX Endpoint, licencias 52
NSX Manager
agregar zona de transporte universal 72
asignar grupo de identificadores de
segmentos 67
universal 71
instalacin 41
instancia de NSX Manager secundaria,
preparacin del host 89
registrar instancia secundaria 87
rol principal 70
servidor de Syslog 51
sincronizar con vCenter 47
NSX Manager principal, agregar zona de
transporte universal 72
P
preparacin del host, instancia de NSX Manager
secundaria 89
R
requisitos del cliente 25
requisitos del sistema 25
rol principal 70
S
servidor de Syslog 51
139
sincronizar con vCenter 47

single sign-on 46
U
universal
acerca de 19
clster de controladoras 18
conmutador lgico 19
enrutador lgico 19
enrutador lgico (distribuido) 75
objetos de seguridad y red, acerca
de 20
reglas de firewall 19
zona de transporte 18
V
vCenter, sincronizar desde NSX Manager 47
Z
zona de transporte universal 72
140
VMware, Inc.

NSX 62 Cross VC Install

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

NSX 62 Cross VC Install

Cargado por

Copyright:

Formatos disponibles

Gua de instalacin de Cross-vCenter

Este documento admite la versin de todos los productos

Gua de instalacin de Cross-vCenter NSX

Puede encontrar la documentacin tcnica ms actualizada en el sitio web de WMware en:

1 Gua de instalacin de Cross-vCenter 5

3 Descripcin general de Cross-vCenter Networking and Security 15

4 Preparar para la instalacin 25

Requisitos del sistema para NSX 25

5 Tareas para las instancias de NSX Manager principales y secundarias 41

6 Configurar la instancia principal de NSX Manager 55

Implementar NSX Controller en la instancia de NSX Manager principal 55

Gua de instalacin de Cross-vCenter NSX

Asignar rol principal a NSX Manager

Asignar un grupo de identificadores de segmentos universales en la instancia de NSX Manager

7 Configurar instancias secundarias de NSX Manager 87

Agregar una instancia de NSX Manager secundaria 87

8 Despus de configurar las instancias de NSX Manager primaria y secundaria 95

9 Desinstalar componentes de NSX 129

Gua de instalacin de Cross-vCenter

Glosario de publicaciones tcnicas de VMware

Gua de instalacin de Cross-vCenter NSX

Descripcin general de NSX

Servicio de red de Capa 2,

Hipervisor del servidor

Memoria y recursos informticos fsicos

Plataforma de virtualizacin de red

Gua de instalacin de Cross-vCenter NSX

Componentes de NSX, pgina 8

NSX Edge, pgina 11

NSX Services, pgina 13

Plano de datos NSX vSwitch

Mdulos de extensin del hipervisor

Captulo 2 Descripcin general de NSX

Uso reducido de identificadores de VLAN en la red fsica

Aprovisionamiento de comunicacin (Este-Oeste y Norte-Sur) a la vez que se mantiene el

Cargas de trabajo y mquinas virtuales de aplicaciones que son independientes de la red de

Escala masiva facilitada de hipervisores

Gua de instalacin de Cross-vCenter NSX

A cada funcin le corresponde un nodo de controladora maestro. Si se producen errores en un nodo de

Captulo 2 Descripcin general de NSX

Puerta de enlace de servicios Edge

Enrutador lgico distribuido

Gua de instalacin de Cross-vCenter NSX

Figura 21. Componentes de enrutamiento lgico

Si asumimos que el protocolo de enrutamiento tambin est habilitado en el dispositivo de salto

Captulo 2 Descripcin general de NSX

El clster de controladoras es el responsable de distribuir las rutas conocidas de la mquina virtual de

Gua de instalacin de Cross-vCenter NSX

Redes privadas virtuales (VPN) lgicas

Equilibrador de carga lgico

Descripcin general de CrossvCenter Networking and Security

Beneficios de Cross-vCenter NSX, pgina 15

Cmo funciona Cross-vCenter NSX, pgina 16

Matriz de compatibilidad de NSX Services en Cross-vCenter NSX, pgina 17

Clster de controladoras universal, pgina 18

Zona de transporte universal, pgina 18

Conmutadores lgicos universales, pgina 19

Enrutadores lgicos (distribuidos) universales, pgina 19

Reglas de firewall universal, pgina 19

Objetos de seguridad y red universal, pgina 20

Topologas de Cross-vCenter NSX, pgina 20

Modificar los roles de NSX Manager, pgina 23

Beneficios de Cross-vCenter NSX