Hol 1703 SDC 1 PDF PT BR NSX

HOL-1703-SDC-1-PT
Table of Contents
Viso geral do laboratrio - HOL-1703-SDC-1 - Tour de recursos do VMware NSX ............ 2
Orientao de laboratrio ....................................................................................... 3
Mdulo 1 - Passo a passo da instalao (15 minutos) ....................................................... 9
Introduo implantao do NSX ......................................................................... 10
Hands-on Labs Interactive Simulation: NSX Installation and Configuration .......... 12
Concluso do Mdulo 1 ......................................................................................... 13
Mdulo 2 - Switch lgico (30 minutos) ............................................................................ 15
Switch lgico - Viso geral do mdulo................................................................... 16
Switch lgico ......................................................................................................... 17
Escalabilidade/disponibilidade .............................................................................. 46
Concluso do Mdulo 2 ......................................................................................... 51
Mdulo 3 - Roteamento lgico (60 minutos) ................................................................... 53
Viso geral de roteamento .................................................................................... 54
Roteamento dinmico e distribudo ..................................................................... 56
Roteamento centralizado ...................................................................................... 92
ECMP e alta disponibilidade ................................................................................ 112
Antes de passar para o Mdulo 3 - conclua as etapas de limpeza a seguir ........ 162
Concluso do Mdulo 3 ....................................................................................... 167
Mdulo 4 - Edge Service Gateway - ESG (60 minutos) .................................................. 169
Introduo ao NSX Edge Services Gateway ........................................................ 170
Implantar o Edge Services Gateway como balanceador de carga....................... 171
Configurar o Edge Services Gateway como balanceador de carga ..................... 190
Balanceador de carga do Edge Services Gateway - verificar a configurao ...... 202
Firewall do Edge Services Gateway ..................................................................... 215
DHCP Relay ......................................................................................................... 226
Configurao do L2VPN....................................................................................... 254
Mdulo 5 - Bridge fsico-virtual (60 minutos) ................................................................ 319
VxLAN Bridge - Funcionalidade Nativa ................................................................ 320
Introduo ao HW VTEP com Arista..................................................................... 364
Simulao interativa do laboratrio prtico: VTEP de hardware com o Arista..... 371
Consideraes de design de Bridge .................................................................... 372
Mdulo 6 - Firewall distribudo (45 minutos) ................................................................. 385
Introduo ao Direwall Distribudo - DFW............................................................ 386
Confirme a ativao do DFW............................................................................... 388
Configure regras para o acesso ao Aplicativo Web ............................................. 391
Criao dos Security Groups - Grupos de Segurana .......................................... 401
Criao das Regras de Acesso ............................................................................ 405
HOL-1703-SDC-1-PT
Page 1
HOL-1703-SDC-1-PT
Viso geral do laboratrio

- HOL-1703-SDC-1 - Tour
de recursos do VMware
NSX
HOL-1703-SDC-1-PT
Page 2
HOL-1703-SDC-1-PT
Orientao de laboratrio
Observao: a concluso deste laboratrio levar mais de 90 minutos. Esperase que voc termine apenas de 2 a 3 mdulos durante o horrio disponvel
para voc. Os mdulos so independentes uns dos outros para que voc
possa comear do incio de cada mdulo e prosseguir de onde parou. Use o
ndice para acessar qualquer mdulo sua escolha.
Ele pode ser acessado no canto superior direito do Manual do laboratrio.
O VMware NSX a plataforma de virtualizao de rede do data center definido por
software (SDDC) e o principal foco deste laboratrio. Neste laboratrio, guiaremos voc
pelos recursos bsicos do NSX. Primeiro acompanharemos uma instalao tpica do NSX
e de todos os componentes necessrios. Em seguida, veremos a comutao e o
roteamento lgicos para que voc compreenda melhor esses conceitos. Depois
abordaremos o gateway de servios do Edge e como ele oferece servios comuns, como
DHCP, VPN, NAT, roteamento dinmico e balanceamento de carga. Por fim, abordaremos
como criar uma ponte entre uma VLAN fsica e uma VXLAN e ento o firewall distribudo.
A lista completa de mdulos de laboratrio mostrada abaixo e todos os mdulos so
totalmente independentes, de forma que voc possa se mover livremente entre eles.
Lista de mdulos de laboratrio:
Mdulo 1 - Passo a passo da instalao (30 minutos) - Bsico - este mdulo
acompanhar voc por uma instalao bsica do NSX, incluindo a implantao do
.ova, a configurao do NSX Manager, a implantao de controladores e a
preparao de hosts.
Mdulo 2 - Switch lgico (30 minutos) - Bsico - este mdulo acompanhar
voc pelas noes bsicas da criao de switches lgicos e da anexao de
mquinas virtuais a switches lgicos.
Mdulo 3 - Roteamento lgico (60 minutos) - Bsico - este mdulo nos
ajudar a compreender alguns dos recursos de roteamento com suporte na
plataforma NSX e tambm como utilizar esses recursos durante a implantao de
um aplicativo de trs camadas.
Mdulo 4 - Edge Services Gateway (ESG) (60 minutos) - Bsico - este mdulo
demonstrar os recursos do Edge Services Gateway(ESG) e como ele pode
oferecer servios comuns, como DHCP, VPN, NAT, roteamento dinmico e
balanceamento de carga.
Mdulo 5 - Bridge fsico virtual (30 minutos) - Bsico - este mdulo nos guiar
pela configurao de uma instncia de bridge L2 entre uma VLAN tradicional e
um switch lgico NSX. Tambm haver uma demonstrao off-line da integrao
do NSX com switches compatveis com VXLAN de hardware Arista.
Mdulo 6 - Firewall distribudo (45 minutos) - Bsico - este mdulo abordar o
firewall distribudo e a criao de regras de firewall entre um aplicativo de trs
camadas.
HOL-1703-SDC-1-PT
Page 3
HOL-1703-SDC-1-PT
Chefes do laboratrio:
Mdulo
Unido
Mdulo
Mdulo
Mdulo
Mdulo
Mdulo
1 - Michael Armstrong, engenheiro de sistemas snior, Reino

2
3
4
5
6
Mostafa Magdy, engenheiro de sistemas snior, Canad

Aaron Ramirez, engenheiro de sistemas da equipe, EUA
Chris Cousins, engenheiro de sistemas, EUA
Brian Wilson, engenheiro de sistemas da equipe, EUA
Este manual de laboratrio pode ser obtido por download no site de Documentos do
laboratrio prtico que se encontra aqui:
[http://docs.hol.pub/HOL-2017]
Este laboratrio pode estar disponvel em outros idiomas. Para definir sua preferncia
de idioma e ter um manual localizado implantado com seu laboratrio, voc pode usar
este documento para orient-lo pelo processo:
http://docs.hol.vmware.com/announcements/nee-default-language.pdf
HOL-1703-SDC-1-PT
Page 4
HOL-1703-SDC-1-PT
Local do console principal

1. A rea dentro da caixa VERMELHA contm o console principal. O Manual do
laboratrio est na guia direita do console principal.
2. Um laboratrio especfico pode ter outros consoles em guias separadas na parte
superior esquerda. Se necessrio, voc ser direcionado para abrir outro console
especfico.
3. Seu laboratrio comea com 90 minutos no cronmetro. No possvel salvar o
laboratrio. Voc deve fazer todo o seu trabalho durante a sesso do laboratrio.
No entanto, possvel clicar em EXTEND para estender o tempo. Se voc estiver
em um evento da VMware, poder estender o tempo do laboratrio duas vezes,
por no mximo 30 minutos. Cada clique acrescenta 15 minutos. Fora de eventos
da VMware, voc pode estender o tempo do seu laboratrio por no mximo nove
horas e 30 minutos. Cada clique acrescenta uma hora.
Mtodos alternativos de entrada de dados por teclado

Durante este mdulo, digite o texto no console principal. Alm da digitao direta, h
dois mtodos muito prticos que facilitam a entrada de dados complexos.
HOL-1703-SDC-1-PT
Page 5
HOL-1703-SDC-1-PT
Clicar e arrastar contedo do manual do laboratrio para a

janela ativa do console
Voc pode tambm clicar e arrastar textos e comandos da interface de linha de
comando (CLI, Command Line Interface) diretamente do Manual do laboratrio para a
janela ativa no console principal.
Acesso ao teclado internacional on-line

Voc pode tambm usar o teclado internacional on-line do console principal.
1. Clique no cone de teclado que fica na barra de tarefas de Incio Rpido do
Windows.
Clicar uma vez na janela ativa do console

Neste exemplo, voc utilizar o teclado on-line para inserir o sinal "@" usado em
endereos de e-mail. Nos layouts de teclado US, pressione as teclas Shift+2 para inserir
o sinal "@".
1. Clique uma vez na janela ativa do console.
2. Clique na tecla Shift.
HOL-1703-SDC-1-PT
Page 6
HOL-1703-SDC-1-PT
Clicar na tecla @
1. Clique na tecla "@".
Observe o sinal @ inserido na janela ativa do console.
Observe a parte inferior direita da tela

Verifique se foram concludas todas as rotinas de inicializao do seu laboratrio e se
ele est pronto para voc comear. Se aparecer algo diferente de "Ready", aguarde
alguns minutos. Aps cinco minutos, se o laboratrio ainda no aparecer como
"Ready", pea ajuda.
HOL-1703-SDC-1-PT
Page 7
HOL-1703-SDC-1-PT
Solicitao ou marca d'gua de ativao

Quando voc iniciar o laboratrio pela primeira vez, talvez observe uma marca d'gua
na rea de trabalho, que indica que o Windows no est ativado.
Um dos principais benefcios da virtualizao que as mquinas virtuais podem ser
movidas e executadas em qualquer plataforma. Os laboratrios prticos utilizam esse
benefcio, e possvel execut-los em vrios data centers. No entanto, esses data
centers podem no ter processadores idnticos, o que aciona uma verificao de
ativao da Microsoft pela Internet.
A VMware e os laboratrios prticos esto em total conformidade com os requisitos de
licenciamento da Microsoft. O laboratrio que voc est usando um pod autocontido e
no tem acesso completo Internet, o que necessrio para que o Windows verifique a
ativao. Sem o acesso completo Internet, esse processo automatizado falha e essa
marca d'gua exibida.
Esse problema superficial no afeta seu laboratrio.
HOL-1703-SDC-1-PT
Page 8
HOL-1703-SDC-1-PT
Mdulo 1 - Passo a passo

da instalao (15
minutos)
HOL-1703-SDC-1-PT
Page 9
HOL-1703-SDC-1-PT
Introduo implantao do NSX

O VMware NSX a plataforma lder de virtualizao de redes que fornece o modelo
operacional de uma mquina virtual para a rede. Assim como a virtualizao de
servidores oferece controle extensvel de mquinas virtuais executadas em um pool de
hardware de servidor, a virtualizao de rede com o NSX oferece uma API centralizada
para aprovisionar e configurar vrias redes lgicas isoladas executadas em uma nica
rede fsica.
As redes lgicas separam a conectividade da mquina virtual e os servios de rede da
rede fsica, fornecendo aos provedores de nuvens e s empresas a flexibilidade de
posicionar mquinas virtuais em qualquer lugar do data center ou de migr-las para
qualquer lugar do data center oferecendo, ainda assim, suporte conectividade de
camada 2/camada 3 e a servios de rede de camada 4 a 7.
Neste mdulo, ns nos concentraremos em como executar a implantao real do NSX
em seu ambiente. No ambiente de laboratrio, a implantao real j foi concluda para
voc.
Este mdulo contm as seguintes lies:
Implantao do OVA do NSX Manager

Registro do NSX no vCenter
Configurao de backups do Syslog e do NSX Manager
Implantao de NSX Controllers
Preparao de um cluster para o NSX
Configurao e verificao de endpoints de tnel de VXLAN (VTEPs)
Criao de pools de identificadores de rede VXLAN(VXLAN Network Identifiers VNIs)
Criao de zonas de transporte(Transport Zones)
Dashboard do NSX Manager
Concluso
HOL-1703-SDC-1-PT
Page 10
HOL-1703-SDC-1-PT
Componentes do NSX
Neste laboratrio, voc acompanhar o processo necessrio para a instalao dos
diversos componentes, que incluem o NSX Manager, os NSX Controllers e depois a
instalao dos mdulos do kernel no hypervisor.
HOL-1703-SDC-1-PT
Page 11
HOL-1703-SDC-1-PT
Hands-on Labs Interactive Simulation:

NSX Installation and Configuration
This portion of the lab is presented as a Hands-on Labs - Interactive Simulation. This
simulation will walk you through the installation and configuration of NSX Manager.
1. Click here to open the interactive simulation. It will open in a new browser
window or tab.
2. When finished, click the "Return to the lab" link in the upper right hand corner
of the web browser window or close the window to continue with this tab.
HOL-1703-SDC-1-PT
Page 12
HOL-1703-SDC-1-PT
Concluso do Mdulo 1
Neste mdulo, mostramos a simplicidade na qual o NSX pode ser instalado e
configurado para comear a fornecer camada 2(L2) por meio de sete servios no
software.
Ns abordamos a instalao e a configurao do appliance do NSX Manager, que
incluem a implantao, a integrao com o vCenter e a configurao de registro em log
e de backups. Depois disso, abordamos a implantao de NSX Controllers como a
camada de controle e a instalao dos pacotes do VMware Infrastructure (vibs) que so
mdulos do kernel enviados por push para o hypervisor. Por fim, mostramos a
implantao automatizada de endpoints de tnel de VXLAN (VTEPs), a criao de um
pool de identificadores de rede de VXLAN (VNIs) e a criao de uma zona de transporte.
Voc terminou o Mdulo 1

Parabns por concluir o Mdulo 1.
Se voc estiver procurando informaes adicionais sobre a implantao do NSX, acesse
o centro de documentao do NSX 6.2 por meio do URL abaixo:
Acesse http://tinyurl.com/hkexfcl
Continue em qualquer mdulo abaixo que seja do seu interesse:
preparao de hosts.
demonstrar os recursos do Edge services gateway e como ele pode oferecer
servios comuns, como DHCP, VPN, NAT, roteamento dinmico e balanceamento
de carga.
HOL-1703-SDC-1-PT
Page 13
HOL-1703-SDC-1-PT

camadas.
Mdulo
Unido
Mdulo
Mdulo
Mdulo
Mdulo
Mdulo

2
3
4
5
6

Como encerrar o laboratrio

Para encerrar o laboratrio, clique no boto END.
HOL-1703-SDC-1-PT
Page 14
HOL-1703-SDC-1-PT
Mdulo 2 - Switch lgico

(30 minutos)
HOL-1703-SDC-1-PT
Page 15
HOL-1703-SDC-1-PT
Switch lgico - Viso geral do mdulo

Neste laboratrio, inicialmente voc analisar os principais componentes do VMware
NSX. H outros aspectos principais abordados neste mdulo:
1) A adio do cluster do NSX Controller eliminou o requerimento de suporte ao
protocolo multicast no ambiente fsico. O cluster de controllers oferece, entre outras
funes, resoluo de VTEP, IP e MAC.
2) Voc criar um switch lgico e ento anexar duas VMs ao switch lgico que criou.
3) Por fim, revisaremos o dimensionamento e a alta disponibilidade da plataforma NSX.
HOL-1703-SDC-1-PT
Page 16
HOL-1703-SDC-1-PT
Switch lgico
Nesta seo:
1.
2.
3.
4.
5.
6.
Confirmaremos que a configurao dos hosts est pronta.

Confirmaremos a preparao de rede lgica.
Criaremos um novo switch lgico.
Anexaremos o switch lgico ao Gateway do NSX Edge.
Adicionaremos VMs ao switch lgico.
Testaremos a conectividade entre as VMs.
Iniciar o Google Chrome

Abra um navegador clicando duas vezes no cone do Google Chrome na rea de
trabalho.
Fazer login no vSphere Web Client

Se voc ainda no tiver feito login no vSphere Web Client:
(A pgina inicial deve ser o vSphere Web Client. Caso contrrio, clique no cone da
Barra de tarefas do vSphere Web Client para o Google Chrome).
1. Faa login marcando a caixa "Use Windows Session Authentication".
2. Clique em Login.
HOL-1703-SDC-1-PT
Page 17
HOL-1703-SDC-1-PT
Navegue at a seo Networking & Security no Web Client

1. Clique na guia Networking & Security.
HOL-1703-SDC-1-PT
Page 18
HOL-1703-SDC-1-PT
Visualizar os componentes implementados

1. Clique em Installation.
2. Clique em Host Preparation.
Voc ver que os componentes do plano de dados, tambm chamados de virtualizao
de rede, so instalados nos hosts em nossos clusters. Esses componentes incluem o
seguinte:
mdulos de kernel no nvel do hypervisor para Port Security, VXLAN, firewall
distribudo(Distributed Firewall-DFW) e roteamento distribudo. As funes de Firewall e
VXLAN so configuradas e ativadas em cada cluster aps a instalao dos componentes
de virtualizao de rede. O mdulo de Port Security auxilia a funo VXLAN, enquanto o
mdulo de roteamento distribudo habilitado assim que a VM de controle de roteador
lgico(Logical Router Control) do NSX Edge configurada.
A topologia aps a preparao do host com os

componentes do Data Plane
Visualizar a configurao do VTEP

1. Clique na guia Logical Network Preparation.
2. Clique na guia VXLAN Transport.
HOL-1703-SDC-1-PT
Page 19
HOL-1703-SDC-1-PT
3. Clique no twistie para expandir os clusters.

A configurao da VXLAN pode ser dividida em trs etapas importantes:
Configure o endpoint de tnel virtual (VTEP) em cada host.
Configure o intervalo de IDs do segmento(Segment ID) para criar um pool de
redes lgicas. (Em algumas configuraes, esta etapa poder exigir a
configurao do endereo do grupo Multicast). No entanto, estamos utilizando o
modo Unicast e no precisaremos especificar um intervalo multicast neste
laboratrio.
Defina a extenso da rede lgica ao configurar a zona de transporte.
Como mostrado no diagrama, os hosts nos clusters de computao so configurados
com os mesmos endpoints de tnel de VXLAN, VTEP. O ambiente usa a subnet
192.168.130.0/24 para o pool VTEP.
A topologia aps a configurao dos VTEPs nos clusters

Um dos principais desafios que os clientes tinham com a implantao da VXLAN no
passado que o suporte ao protocolo multicast era necessrio nos dispositivos de rede
fsica. Esse desafio endereado na Plataforma NSX ao fornecer uma implementao de
VXLAN baseada em controller, removendo qualquer necessidade de configurao
multicast na rede fsica. Esse modo (Unicast) o modo padro, e os clientes no
precisam configurar qualquer endereo multicast enquanto definem o pool de redes
lgicas.
Se o modo de replicao multicast for escolhido por um determinado switch lgico, o
NSX confiar no recurso multicast L2/L3 nativo da rede fsica para garantir que o trfego
de vrios destinos encapsulados de VXLAN seja enviado para todos os VTEPs. Nesse
modo, um endereo IP multicast deve ser associado a cada segmento L2 VXLAN
definido (isto , o switch lgico). O recurso multicast L2 usado para replicar o trfego
para todos os VTEPs no segmento local (isto , endereos IP do VTEP que faam parte
da mesma subnet IP). Adicionalmente, IGMP snooping deve ser configurado nos
switches fsicos para otimizar a entrega de trfego multicast L2.
HOL-1703-SDC-1-PT
Page 20
HOL-1703-SDC-1-PT
O modo hbrido oferece uma simplicidade operacional semelhante ao modo unicast - a

configurao de roteamento de multicast IP no necessria na rede fsica - e aproveita
o recurso multicast L2 dos switches fsicos.
Dessa forma, os trs modos de configurao de camada de controle so:
Unicast: o plano de controle tratado por um NSX controller. Todo trfego
unicast aproveita a replicao headend. Nenhum endereo IP multicast ou
configurao de rede especial necessrio.
Multicast: os endereos IP multicast na rede fsica so usados para a camada de
controle. Este modo somente recomendado quando voc estiver atualizando
implantaes antigas de VXLAN. Exige PIM/IGMP na rede fsica.
Hybrid: o modo unicast otimizado. Transfere a replicao de trfego local para a
rede fsica (multicast L2). Requer IGMP snooping no primeiro switch do
percurso(primeiro hop), mas no exige PIM. Este primeiro switch cuida da
replicao de trfego para a subnet. O modo hbrido recomendado para
implantaes do NSX em larga escala.
HOL-1703-SDC-1-PT
Page 21
HOL-1703-SDC-1-PT
Configurao do ID do segmento e do endereo de grupo

multicast
1. Clique em Segment ID. Observe que a seo Multicast addresses acima est em
branco. Como mencionado acima, estamos usando o n unicast padro com uma
implementao de VXLAN baseada em controller.
Definio de configuraes da zona de transporte

1. Clique em Transport Zones.
2. Clique duas vezes em RegionA0_TZ.
Uma zona de transporte define a extenso de um switch lgico. As zonas de transporte
definem quais clusters podem participar do uso de uma rede lgica em particular.
medida que voc adicionar novos clusters ao seu datacenter, poder aumentar a zona
de transporte e, portanto, aumentar a extenso das redes lgicas. Uma vez que o
switch lgico estiver se estendendo por todos os clusters de computao, consegue-se
remover todas as barreiras de mobilidade que existiam antes por causa dos limites da
VLAN.
HOL-1703-SDC-1-PT
Page 22
HOL-1703-SDC-1-PT
Confirme os Clusters como membros da zona de

transporte local
Confirme se todos os trs clusters esto presentes na zona de transporte.
1. Clique na guia Manage para mostrar os clusters que fazem parte dessa zona de
transporte.
HOL-1703-SDC-1-PT
Page 23
HOL-1703-SDC-1-PT
A topologia aps a definio da zona de transporte

Depois de examinarmos os diferentes componentes NSX e a configurao relacionada
da VXLAN, agora percorreremos a criao de uma rede lgica, tambm conhecida como
switch lgico.
Volte para o menu Networking & Security

1. Clique no boto History back para voltar para a ltima janela; no seu caso, o
menu Networking & Security.
Se por acaso voc tiver clicado em outra opo depois de visualizar a zona de
transporte, volte para a seo Networking & Security do Web Client por meio do menu
Home como feito nas etapas anteriores.
HOL-1703-SDC-1-PT
Page 24
HOL-1703-SDC-1-PT
Criar um novo switch lgico

1.
2.
3.
4.
Clique em Logical Switches no lado esquerdo.

Clique no cone "+" Verde para criar um novo switch lgico.
D ao switch lgico o nome: Prod_Logical_Switch.
Verifique se RegionA0_TZ est selecionado como a zona de transporte
Observao: o modo unicast deveria estar selecionado automaticamente.
5. Unicast deve ser selecionado automaticamente.
6. Deixe a caixa Enable IP Discovery marcada.
A funo IP Discovery ativa a supresso ARP.
A seleo da funo IP Discovery ativa a supresso ARP (Address Resolution Protocol). O
ARP usado para determinar o endereo MAC (Media Access Controle) de destino de
um endereo IP por meio do envio de um broadcast em um segmento de camada 2. Se
o host ESXi com o NSX Virtual Switch receber trfego ARP de uma VM (Mquina Virtual)
ou de uma solicitao Ethernet, o host enviar a solicitao para o NSX Controller que
possui uma tabela ARP. Se a instncia do NSX Controller j tiver as informaes em sua
tabela ARP, elas sero retornadas ao host que responder mquina virtual.
7.
Clique em OK.
Anexe o novo switch lgico ao NSX Edge Services Gateway

para acesso externo
1. Destaque o switch lgico recm-criado.
HOL-1703-SDC-1-PT
Page 25
HOL-1703-SDC-1-PT
2. Clique com o boto direito do mouse em Prod_Logical_Switch e selecione

Connect NSX Edge.
HOL-1703-SDC-1-PT
Page 26
HOL-1703-SDC-1-PT
Conectar o switch lgico ao NSX Edge

O roteamento ser descrito em mais detalhes no prximo mdulo, mas, para obter
conectividade da nossa VM do console principal e/ou outras VMs em nosso laboratrio,
para as VMs em nosso novo switch lgico, precisaremos conect-las ao roteador. Como
mencionado na seo de componentes, o NSX Edge poder ser instalado de duas
formas diferentes: Roteador distribudo e Gateway de permetro.
O Edge Services Gateway chamado de "Perimeter-Gateway" oferece servios de
rede como DHCP, NAT, balanceador de carga, firewall e VPN, alm do recurso de
roteamento dinmico.
O "Distributed-Router" suporta roteamento distribudo e roteamento dinmico.
Neste exemplo, voc conectar o switch lgico ao NSX Edge Services Gateway
(Perimeter-Gateway).
1. Clique no boto de opo ao lado de Perimeter-Gateway.
2. Clique em Next.
Conectar o switch lgico ao NSX Edge

1. Clique no boto de opo ao lado de vnic7.
HOL-1703-SDC-1-PT
Page 27
HOL-1703-SDC-1-PT
2. Clique em Next.
D um nome Interface e configure o seu endereo IP

1. Nome da interface: Prod_Interface.
2. Selecione Connected.
3. Clique no sinal "+" para Configure subnets (deixe as outras configuraes
como esto)
HOL-1703-SDC-1-PT
Page 28
HOL-1703-SDC-1-PT
Atribuir um IP interface
1. Digite o endereo IP primrio 172.16.40.1 (deixe o endereo IP secundrio em
branco)
2. Digite 24 em Subnet Prefix Length.
3. Verifique se as configuraes esto corretas e clique em Next.
HOL-1703-SDC-1-PT
Page 29
HOL-1703-SDC-1-PT
Concluir o processo de edio da interface

1. Clique em Finish (voc ver o novo switch lgico mostrado na lista de switches
lgicos)
HOL-1703-SDC-1-PT
Page 30
HOL-1703-SDC-1-PT
A topologia aps a conexo de Prod_Logical_Switch ao NSX

Edge Services Gateway
Depois de configurar o switch lgico e de conceder acesso rede externa, ser o
momento de conectar as mquinas virtuais do aplicativo Web a esta rede.
HOL-1703-SDC-1-PT
Page 31
HOL-1703-SDC-1-PT
Acesse Hosts and Clusters

1. Clique no boto Home.
2. Clique em Hosts and Clusters.
HOL-1703-SDC-1-PT
Page 32
HOL-1703-SDC-1-PT
Conectar as VMs ao vDS

Para poder adicionar as VMs ao switch lgico que criamos, precisamos garantir que o
adaptador de rede das VMs esteja habilitado e conectado ao vDS correto.
1.
2.
3.
4.
5.
6.
Clique no boto Hosts & Clusters.

Expanda o twisty em RegionA01-COMP01.
Selecione Web-03a.
Selecione Manage.
Selecione Settings.
Selecione Edit.
HOL-1703-SDC-1-PT
Page 33
HOL-1703-SDC-1-PT
Conectar e ativar a interface de rede

1.
2.
3.
4.
Ao lado de Network Adaptor, clique no menu suspenso de interfaces.

Selecione VM-RegionA01-vDS-COMP (RegionA01-vDS-COMP)
Marque a caixa Connected ao lado dele.
Clique em OK.
Repita as mesmas etapas para Web-04a, que voc pode encontrar no cluster
RegionA01-COMP2.
HOL-1703-SDC-1-PT
Page 34
HOL-1703-SDC-1-PT
Anexe web-03a and web-04a ao Prod_Logical_Switch

recm-criado
1. Clique no boto home.
Voltar para Network Security

1. Clique em Networking & Security.
Selecione Logical Switches

1. Selecione a guia Logical Switches.
HOL-1703-SDC-1-PT
Page 35
HOL-1703-SDC-1-PT
Adicionar as VMs
1. Clique para realar o novo switch lgico criado.
2. Clique com o boto direito do mouse e selecione o item de menu Add VM.
HOL-1703-SDC-1-PT
Page 36
HOL-1703-SDC-1-PT
Adicionar Mquinas Virtuais a serem anexadas ao novo

switch lgico
1. Informe um filtro para localizar as VMs cujos nomes comecem com "web".
2. Destaque as VMs web-03a e web-04a.
3. Clique na seta para a direita para selecionar as VMs a serem adicionadas
ao switch lgico.
4. Clique em Next.
HOL-1703-SDC-1-PT
Page 37
HOL-1703-SDC-1-PT
Adicionar vNICs das VMs ao switch lgico

1. Selecione as vNiCs de duas VMs.
2. Clique em Next.
HOL-1703-SDC-1-PT
Page 38
HOL-1703-SDC-1-PT
Complete Add VMs to Logical Switch

1. Clique em Finish.
HOL-1703-SDC-1-PT
Page 39
HOL-1703-SDC-1-PT
Testaremos a conectividade entre Web-03a e Web-04a
Visualizao de hosts e clusters

1. Clique no boto Home.
2. Selecione Hosts and Clusters no menu suspenso.
HOL-1703-SDC-1-PT
Page 40
HOL-1703-SDC-1-PT
Expanda os clusters
Expanda as setas para ver as VMs que voc acabou de adicionar ao switch
lgico. Observe que as duas VMs adicionadas esto em clusters de
processamento diferentes.
HOL-1703-SDC-1-PT
Page 41
HOL-1703-SDC-1-PT
Abra o Putty
1. Clique em Iniciar.
2. Clique no cone do aplicativo Putty no Menu Start.
Voc est se conectando do MainConsole, que est na subnet 192.168.110.0/24. O
trfego passar pelo NSX Edge e ento pela Interface da Web.
HOL-1703-SDC-1-PT
Page 42
HOL-1703-SDC-1-PT
Abra uma sesso SSH para web-03a

1. Selecione web-03a.corp.local.
2. Clique em Open.
**Observao - se web-3a no for mostrando como uma opo por algum motivo, voc
tambm poder tentar colocar o endereo IP 172.16.40.11 na caixa Host Name.
HOL-1703-SDC-1-PT
Page 43
HOL-1703-SDC-1-PT
Fazer login na VM
Se solicitado, clique em Yes para aceitar a chave de host do servidor.
Se voc fizer login automaticamente, faa login como o usurio root e use a
senha VMware1!
Observao: se voc tiver dificuldade de se conectar a web-03a, revise suas etapas
anteriores e verifique se elas foram concludas corretamente.
HOL-1703-SDC-1-PT
Page 44
HOL-1703-SDC-1-PT
Faa ping no web server web-sv-04a para mostrar a

conectividade da camada 2
Lembre-se de usar a opo SEND TEXT para enviar este comando para o
console. (Consulte a Orientao de laboratrio)
Insira ping -c 2 web-04a para enviar somente 2 pings em vez de um ping contnuo.
OBSERVAO: web-04a tem o IP 172.16.40.12, voc poder fazer ping por IP em vez de
por nome, se necessrio.
ping -c 2
web-04a
***Observe que talvez voc veja pacotes duplicados. Isso se deve natureza do
ambiente de laboratrio da VMware que est sendo tambm virtualizado. Isso no
acontecer em um ambiente de produo.
****No feche sua sesso do Putty. Minimize a janela para uso posterior.
HOL-1703-SDC-1-PT
Page 45
HOL-1703-SDC-1-PT
Escalabilidade/disponibilidade
Nesta seo, voc examinar o dimensionamento e a disponibilidade dos Controllers. O
cluster de controllers na plataforma NSX o componente da camada de controle
responsvel pelo gerenciamento dos mdulos de switch e de roteamento nos
hypervisors. O cluster de controllers consiste em ns de controllers que gerenciam
switches lgicos especficos. O uso de um cluster de controllers no gerenciamento de
switches lgicas baseados em VXLAN elimina a necessidade de suporte multicast da
infraestrutura de rede fsica.
Para obter resilincia e desempenho, as implantaes de produo devem instalar um
cluster do controllers com vrios ns. O cluster do NSX controller representa um sistema
distribudo de dimensionamento horizontal(scale-out), onde cada N do controller
recebe um conjunto de funes que define o tipo de tarefas que o n poder
implementar. Os ns das controllers so implantados em nmeros mpares. A prtica
atual recomendada (e a nica configurao compatvel) que o clustertenha trs ns
de compartilhamento e redundncia de carga ativo-ativo-ativo.
Para aumentar as caractersticas de escalabilidade da arquitetura NSX, um mecanismo
de "fatiamento" utilizado para garantir que todos os ns das controlllers possam estar
ativos em um determinado momento.
Caso algum controller falhe, o trfego do plano de dados (VM) no ser afetado. O
trfego continuar fluindo. isso acontece porque as informaes da rede lgica foram
enviadas por push para os switches lgicos (o plano de dados). O que voc no pode
fazer adicionar/mover/alterar sem que a camada de controle (cluster do controller)
esteja intacto.
HOL-1703-SDC-1-PT
Page 46
HOL-1703-SDC-1-PT
Escalabilidade/Disponibilidade do NSX Controller

1. Passe o mouse sobre o cone Home.
HOL-1703-SDC-1-PT
Page 47
HOL-1703-SDC-1-PT
Verificar a configurao do controller existente

1. Clique em Installation.
2. Clique em Management.
Examine os ns do NSX Controller, onde ser possvel ver se h trs controllers
implantados. Os NSX Controllers so sempre implantados em nmeros mpares para
obteno de alta disponibilidade e dimensionamento.
HOL-1703-SDC-1-PT
Page 48
HOL-1703-SDC-1-PT
Visualize as VMs do NSX Controller

Para ver os NSX Controllers no ambiente virtual
1. Passe o mouse sobre ocone Home.
2. Clique em VMs and Templates.
HOL-1703-SDC-1-PT
Page 49
HOL-1703-SDC-1-PT
Voc ver os 3 NSX Controllers

1. Expanda o continer "RegioA01"
2. Destaque um dos NSX_Controllers
3. Selecione a guia Summary.
Observe o host ESX ao qual este controlador est conectado. Os outros controladores
podem estar em um host ESX diferente neste ambiente de laboratrio. Em um ambiente
de produo, cada controlador residiria em um host diferente no cluster com regras
antiafinidade do DRS definidas para evitar vrias falhas de controller devido
interrupo de um nico host.
HOL-1703-SDC-1-PT
Page 50
HOL-1703-SDC-1-PT
Concluso do Mdulo 2
Neste mdulo, demonstramos os principais benefcios da plataforma NSX.
A velocidade na qual voc pode aprovisionar switches lgicos e fazer a interface deles
com mquinas virtuais e redes externas.
A escalabilidade da plataforma demonstrada pela capacidade de aumentar a zona de
transporte bem com os ns dos controllers

Se voc estiver procurando por informaes adicionais sobre switches lgicos, visite o
URL abaixo:
Acesse http://tinyurl.com/h8rx5vr
preparao de hosts.
demonstrar os recursos do Edge Services Gateway e como ele pode oferecer
de carga.
camadas.
HOL-1703-SDC-1-PT
Page 51
HOL-1703-SDC-1-PT
Mdulo
Unido
Mdulo
Mdulo
Mdulo
Mdulo
Mdulo

2
3
4
5
6


HOL-1703-SDC-1-PT
Page 52
HOL-1703-SDC-1-PT
Mdulo 3 - Roteamento
lgico (60 minutos)
HOL-1703-SDC-1-PT
Page 53
HOL-1703-SDC-1-PT
Viso geral de roteamento

Viso geral do mdulo de laboratrio
No mdulo anterior, voc viu que os usurios podem criar switches/redes lgicos
isolados com apenas alguns cliques. Para fornecer comunicao entre essas redes
lgicasisoladasde camada 2, o suporte de roteamento essencial. Na plataforma NSX, o
roteador lgico distribudo permite que voc roteie o trfego entre os switches lgicos.
Um dos principais recursos de diferenciao desse roteador lgico que a capacidade
de roteamento distribuda no hypervisor. Ao incorporarem esse componente de
roteamento lgico, os usurios podero reproduzir topologias de roteamento complexas
no espao lgico. Por exemplo, em um aplicativo de 3 camadas conectado a trs
switches lgicos, o roteamento entre as camadas tratado por esse roteador lgico
distribudo.
Neste mdulo, voc demonstrar o seguinte
1) Como o trfego flui quando o roteamento tratado por um roteador fsico externo ou
um NSX Edge Services Gateway.
2) Em seguida, percorreremos a configurao das Interfaces lgicas (LIFs) no roteador
lgico e ativaremos o roteamento entre as camadas de aplicativo e de banco de dados
do Aplicativo
3) Posteriormente, configuraremos protocolos de roteamento dinmico entre o roteador
lgico distribudo e o NSX Edge Services Gateway. Mostraremos como so controladas
as divulgaes de rotas internas para o roteador externo.
4) Por fim, ns veremos como os diversos protocolos de roteamento, como o ECMP
(Equal Cost Multipath Routing), podem ser usados para escalar e proteger o gateway de
servios do Edge.
Este mdulo nos ajudar a compreender alguns dos recursos de roteamento com
suporte na plataforma NSX e tambm como utilizar esses recursos durante a
implantao de um aplicativo de 3 camadas.
Instrues especiais para comandos da CLI

Em muitos dos mdulos, voc dever inserir comandos de linha na console (CLI,
Command Line Interface). H duas maneiras de enviar comandos da CLI para o
laboratrio.
A primeira enviar um comando da CLI para o console do laboratrio:
1. Destaque o comando da CLI no manual e use Control+c para copiar para a
rea de transferncia.
HOL-1703-SDC-1-PT
Page 54
HOL-1703-SDC-1-PT
2. Clique no item de menu do console SEND TEXT.

3. Pressione Control+v para colar da rea de transferncia para a janela.
4. Clique no boto SEND.
Na segunda, um arquivo de texto (README.txt) foi colocado na rea de trabalho do
ambiente, permitindo que voc copie e cole com facilidade comandos ou senhas
complexos nos utilitrios associados (CMD, Putty, console etc). Com frequncia,
determinados caracteres no esto presentes em teclados usados globalmente. Este
arquivo de texto tambm includo para layouts de teclado que no oferecem esses
caracteres.
O arquivo de texto chama-se README.txt e pode ser encontrado na rea de trabalho.
HOL-1703-SDC-1-PT
Page 55
HOL-1703-SDC-1-PT
Roteamento dinmico e distribudo

Primeiro, examine a configurao do roteamento distribudo e veja os benefcios do
roteamento no nvel do kernel.
HOL-1703-SDC-1-PT
Page 56
HOL-1703-SDC-1-PT
Uma viso da topologia atual e do fluxo de pacotes

Na imagem acima, observe que a VM do aplicativo e a VM do banco de dados residem
no mesmo host fsico, que o cenrio do laboratrio. Sem o roteamento distribudo,
para que essas duas VMs se comuniquem, podemos ver o fluxo do trfego apontado
pela seta vermelha nas etapas acima. Primeiro, vemos o trfego deixar a VM do
aplicativo e, como a VM do banco de dados no est na mesma subnet, o host fsico
enviar esse trfego para um dispositivo de camada 3. No ambiente, esse o NSX
Edge (permetro) que reside no Cluster de gerenciamento. Em seguida, o NSX Edge
envia o trfego de volta para o host onde ele finalmente atinge a VM do banco de
dados.
No final do laboratrio, ns visitaremos novamente um diagrama de fluxo de trfego
semelhante para vermos como alteramos esse comportamento aps a configurao do
roteamento distribudo.
HOL-1703-SDC-1-PT
Page 57
HOL-1703-SDC-1-PT
Acessar o vSphere Web Client

Abra o vSphere Web Client por meio do cone na rea de trabalho chamado
Google Chrome.

Faa login no vSphere Web Client usando a autenticao de sesso do Windows.
1. Clique em Use Windows session authentication - isso preencher
automaticamente com as credenciais CORP\Administrator / VMware1!
2. Clique em Login
Confirme o funcionamento do aplicativo de camada 3

1. Abra uma nova guia do navegador
2. Clique no favorito chamado Customer DB App
Aplicativo Web retornando informaes do banco de dados

Antes de voc comear a configurar o Roteamento distribudo, vamos verificar se o
aplicativo Web de 3 camadas est funcionando corretamente. As trs camadas do
aplicativo (Web, aplicativo e banco de dados) esto em switches lgicos diferentes e o
NSX Edge fornece o roteamento entre as camadas.
HOL-1703-SDC-1-PT
Page 58
HOL-1703-SDC-1-PT
O servidor Web retornar uma pgina Web com as informaes do cliente

armazenadas no banco de dados.
HOL-1703-SDC-1-PT
Page 59
HOL-1703-SDC-1-PT
Remoo das interfaces do aplicativo e do banco de dados

do Edge de permetro.
Como voc viu na topologia anterior, os trs switches lgicos ou as 3 camadas do
aplicativo so terminados no Edge de permetro. O Edge de permetro fornece o
roteamento entre as 3 camadas. Vamos alterar essa topologia; primeiro remova as
interfaces do aplicativo e do banco de dados do Edge de permetro. Depois de
excluirmos as interfaces, as moveremos para o permetro distribudo. Para economizar
tempo de implantao de um componente, o roteador distribudo foi criado para voc.
Volte para a guia vSphere Web Client:
1. Clique no boto Networking & Security
HOL-1703-SDC-1-PT
Page 60
HOL-1703-SDC-1-PT
Selecione o NSX Edge

1. Clique em NSX Edges no painel de navegao esquerdo
2. Clique duas vezes em "edge-3 Perimeter-Gateway-01" para abrir a
configurao do Perimeter-Gateway
HOL-1703-SDC-1-PT
Page 61
HOL-1703-SDC-1-PT
Selecione interfaces na guia Settings para exibir as

interfaces atuais
1. Clique na guia Manage
2. Clique em Settings
3. Clique em Interfaces no painel de navegao Settings
Voc ver as interfaces atualmente configuradas e as propriedades delas. As
informaes incluem o nmero vNIC, o nome da interface, se a interface foi configurada
como interna ou como um uplink e qual o status atual, ativo ou desativado.
HOL-1703-SDC-1-PT
Page 62
HOL-1703-SDC-1-PT
Exclua a interface do aplicativo

1. Destaque a interface App_Tier. A barra Actions ser iluminada, oferecendo
opes especficas para a interface selecionada
2. Clique no X vermelho para excluir a interface selecionada do Edge de permetro.
Aparecer uma caixa de aviso solicitando a confirmao de que desejamos
excluir a interface
3. Clique em OK para confirmar a excluso
HOL-1703-SDC-1-PT
Page 63
HOL-1703-SDC-1-PT
Exclua a interface do banco de dados

1. Destaque a interface DB_Tier. A barra Actions ser iluminada, oferecendo
opes especficas para a interface selecionada
2. Clique no X vermelho para excluir a interface selecionada do permetro.
Aparecer uma caixa de aviso solicitando a confirmao de que desejamos
excluir a interface
HOL-1703-SDC-1-PT
Page 64
HOL-1703-SDC-1-PT
A topologia aps a remoo das interfaces do aplicativo e

do banco de dados do Edge de permetro
HOL-1703-SDC-1-PT
Page 65
HOL-1703-SDC-1-PT
Navegue de volta para a pgina inicial do NSX

Agora que voc removeu as interfaces do aplicativo e do banco de dados do Edge de
permetro, precisar navegar de volta para a tela do dispositivo de permetro para
acessar o permetro distribudo.
Clique no boto back de Networking & Security no canto superior esquerdo
para voltar tela principal Edge Services.
Adicione as interfaces do aplicativo e do banco de dados

ao roteador distribudo
Agora comearemos a configurar o roteamento distribudo ao adicionarmos a interface
do aplicativo e do banco de dados ao "roteador distribudo".
1. Clique duas vezes em edge-6 para configurar o roteador distribudo
Exiba as interfaces no roteador distribudo

1. Clique em Manage
2. Clique em Settings
HOL-1703-SDC-1-PT
Page 66
HOL-1703-SDC-1-PT
3. Clique em Interfaces para exibir todas as interfaces atualmente configuradas no

roteador distribudo
HOL-1703-SDC-1-PT
Page 67
HOL-1703-SDC-1-PT
Adicione as interfaces ao roteador distribudo

1. Clique no sinal "+" verde para adicionar uma nova interface
2. Nomeie a interface como App_Tier
3. Clique em Select na seo Connected To
HOL-1703-SDC-1-PT
Page 68
HOL-1703-SDC-1-PT
Especifique a rede
1. Selecione o boto de opo App_Tier_Logical_Switch que ser a rede em que
esta interface se comunicar
2. Clique em OK
HOL-1703-SDC-1-PT
Page 69
HOL-1703-SDC-1-PT
Adicione subnets
1.
2.
3.
4.
Clique no sinal "+" verde para Configure Subnets.

Clique na caixa Primary IP Address e digite 172.16.20.1 como o endereo IP
Digite 24 como o Subnet Prefix Length
Em seguida, clique em OK para concluir a adio da sub-rede
HOL-1703-SDC-1-PT
Page 70
HOL-1703-SDC-1-PT
Adicione a interface do banco de dados

Conclua as mesmas etapas das duas etapas anteriores para a interface da
camada de DB:
Nome DB_Tier
Conectar-se ao DB_Tier_Logical_Switch
Endereo IP 172.16.30.1 e um comprimento ode prefixo de sub-rede de 24
Assim que o sistema concluir a adio e a configurao da interface DB. Verifique se as
interfaces App_Tier e DB_Tier correspondem imagem acima.
HOL-1703-SDC-1-PT
Page 71
HOL-1703-SDC-1-PT
A nova topologia aps a mudana das interfaces do

aplicativo e do banco de dados para o roteador distribudo
Aps a configurao dessas interfaces no roteador distribudo, as configuraes de
interface sero automaticamente enviadas por push para cada host no ambiente. A
partir da, no Roteamento distribudo (DR) do host, o mdulo carregvel do Kernel
tratar o roteamento entre as interfaces do aplicativo e do banco de dados. Assim, se
duas VMs conectadas a duas subnets diferentes estiverem em execuo no mesmo host
com o qual querem se comunicar, o trfego utilizar um caminho ideal como mostrado
no diagrama de fluxo de trfego anterior.
Volte para a guia do navegador com o aplicativo Web de 3

camadas
Depois de fazer as alteraes, voc testar se o acesso ao aplicativo de 3 camadas
falha. O motivo da falha que enquanto configuramos o roteamento a ser tratado pelo
roteador distribudo, no h uma rota entre ele e o local onde os Servidores Web esto
localizados.
Clique na guia aberta anteriormente, HOL - Multi-Tier App
HOL-1703-SDC-1-PT
Page 72
HOL-1703-SDC-1-PT
Observao: caso voc tenha fechado a guia nas etapas anteriores, abra uma nova
guia do navegador e clique no bookmark favorito Customer DB App
Verifique se o aplicativo de trs camadas para de

funcionar
1. Clique em Refresh
O aplicativo levar alguns segundos para realmente atingir o tempo limite, talvez seja
necessrio selecionar o "x" vermelho para parar o navegador. Se voc realmente
observar os dados do cliente, talvez eles tenham sido obtidos do cache anteriormente e
talvez seja necessrio fechar e reabrir o navegador para corrig-los.
Feche a guia criada para testar a conectividade ao servidor Web. Em seguida, vamos
configurar o roteamento para restaurar o servio.
Observao: se voc tiver de reabrir o navegador, depois de verificar que o
aplicativo de 3 camadas no est funcionando, clique no marcador para o
vSphere Web Client no navegador e faa login novamente com as credenciais
"root" e senha "VMware1!". Em seguida, clique em Networking and Security,
Edge Appliances e, por fim, clique duas vezes em "Distributed-Router".
Configure o roteamento dinmico no roteador distribudo

Volte para a guia vSphere Web Client.
1. Clique na guia Routing
2. Clique em Global Configuration
HOL-1703-SDC-1-PT
Page 73
HOL-1703-SDC-1-PT
3. Clique no boto Edit ao lado de Dynamic Routing Configuration
HOL-1703-SDC-1-PT
Page 74
HOL-1703-SDC-1-PT
Edite a configurao do roteamento dinmico

1. Selecione a ID do roteador padro, que o endereo IP da interface Uplink, nesse
caso, Transit_Network_01 - 192.168.5.2
2. Clique em OK
Observao: o ID do roteador importante na operao do OSPF, j que indica

a identidade dos roteadores em um sistema autnomo. um identificador de
32 bits indicado como um endereo IP, mas pode ser especfico de subnets
relativas ao roteador especfico. Em nosso caso, estamos usando uma ID do
roteador igual ao endereo IP da interface de uplink no dispositivo de
permetro, o que aceitvel, porm desnecessrio. A tela voltar para a tela
principal "Global Configuration e a caixa de dilogo verde "Publish Changes" aparecer
novamente.
Publicar as alteraes
1. Clique no boto Publish Changes na caixa de dilogo novamente para enviar
por push a configurao atualizada para o dispositivo de permetro distribudo.
HOL-1703-SDC-1-PT
Page 75
HOL-1703-SDC-1-PT
Configure os parmetros especficos do OSPF

Usaremos o OSPF como o nosso protocolo de roteamento dinmico.
1. Selecione OSPF na rvore de navegao em Routing para abrir a pgina principal
de configurao do OSPF
2. Clique em Edit direita de OSPF Configuration para abrir a caixa de dilogo
OSPF Configuration
HOL-1703-SDC-1-PT
Page 76
HOL-1703-SDC-1-PT
Ative o OSPF
1.
2.
3.
4.
5.
Clique na caixa de dilogo Enable OSPF

Digite 192.168.5.3 na caixa Protocol Address
Digite 192.168.5.2 na caixa Forwarding Address
Verifique se a caixa de dilogo Enable Graceful Restart est marcada
Em seguida, clique em OK
Observao: para o roteador distribudo, o campo "Protocol Address" ser obrigatrio

para o envio do trfego de controle para a Mquina Virtual de controle do roteador
distribudo. O endereo de encaminhamento para onde todo o trfego do plano de
dados ser enviado. A tela voltar para a janela de configurao principal do "OSPF". A
caixa de dilogo verde "Publish Changes" ser exibida.
Observao: a separao do trfego da camada de controle e do plano de dados no
NSX cria a possibilidade da manuteno do recurso de encaminhamento de dados da
instncia de roteamento enquanto a funo de controle reiniciada ou recarregada.
Essa funo chamada de "Graceful Restart" ou de "Non-stop Forwarding".
NO PUBLIQUE AS ALTERAES AINDA!Em vez de publicar alteraes em todas as
etapas, continuaremos a percorrer as alteraes de configurao e as publicaremos
todas de uma vez.
Configurar a definio de rea

1. Clique no sinal "+" verde para abrir a caixa de dilogo New Area Definition
2. Digite 10 na caixa Area ID. Voc pode deixar as outras caixas de dilogo com as
configuraes padro
3. Clique em OK
HOL-1703-SDC-1-PT
Page 77
HOL-1703-SDC-1-PT
Observao: o ID da rea para o OSPF muito importante. Existem vrios

tipos de reas OSPF. Verifique a rea correta em que os dispositivos de
permetro devem estar para que funcionem corretamente com o resto da
configurao na rede.
HOL-1703-SDC-1-PT
Page 78
HOL-1703-SDC-1-PT
Mapeamento de rea para interface

1. Clique no sinal de mais verde na rea "Area to Interface Mapping" para abrir a
caixa de dilogo "New Area to Interface Mapping"
2. Selecione Transit_Network_01 como interface
3. Selecione 10 como a Area
4. Clique em OK
HOL-1703-SDC-1-PT
Page 79
HOL-1703-SDC-1-PT
Confirme se o roteamento OSPF est rodando no roteador

distribudo
Agora podemos confirmar que ativamos e configuramos o OSPF no permetro distribudo
Confirme se todas as informaes exibidas esto corretas.
Confirme a redistribuio de rota

Clique em Route Redistribution para abrir a pgina de configurao principal
da redistribuio de rota.
HOL-1703-SDC-1-PT
Page 80
HOL-1703-SDC-1-PT
Verifique a redistribuio de rota

Verifique se a caixa est selecioada ao lado do OSPF. Isso mostra que a
redistribuio de rota para OSPF est ativada.
Adicionar BGP tabela de redistribuio de rotas OSPF

1.
2.
3.
4.
Clique em OSPF da tabela Route Redistribution

Clique no cone de lpis para editar as configuraes de OSPF
Marque a caixa de BGP na lista Allow learning from
Clique em OK
HOL-1703-SDC-1-PT
Page 81
HOL-1703-SDC-1-PT
Configure o roteamento OSPF no Edge de permetro

Agora devemos configurar o roteamento dinmico no dispositivo Edge de permetro
para restaurar a conectividade para o nosso aplicativo de 3 camadas de teste.
Clicar no boto back de Networking & Security no canto superior esquerdo nos
leva de volta pgina EdgeServices.
HOL-1703-SDC-1-PT
Page 82
HOL-1703-SDC-1-PT
Selecione o Edge de permetro

Os nossos dispositivos de permetro configurados so exibidos na pgina principal NSX
Edges.
Clique duas vezes em Edge-3 (Perimeter-Gateway) para abrir novamente a
pgina de configurao principal desse dispositivo.
HOL-1703-SDC-1-PT
Page 83
HOL-1703-SDC-1-PT
Configurao global do Edge de permetro

1. Clique na guia de navegao Manage
2. Selecione o boto de navegao Routing para ir para a pgina de configurao
de roteamento do dispositivo
3. Clique em OSPF
4. Clique em Edit direita de OSPF Configuration para abrir a caixa de dilogo
OSPF Configuration
Voc observar que esse dispositivo Edge j foi configurado para roteamento dinmico
com BGP. Essa configurao de roteamento definida de forma que esse dispositivo
Edge possa comunicar e distribuir rotas para o roteador que esteja executando o
laboratrio geral. Agora prosseguiremos ao conectarmos esse dispositivo Edge ao
roteador distribudo lgico. Todas as configuraes globais de roteador e BGP j foram
concludas para o dispositivo Edge.
Ative o OSPF
1. Clique na caixa de dilogo Enable OSPF
HOL-1703-SDC-1-PT
Page 84
HOL-1703-SDC-1-PT
2. Verifique se a caixa de dilogo Enable Graceful Restart est marcada

3. Em seguida, clique em OK
Configurar a definio de rea

1. Clique no sinal "+" verde para abrir a caixa de dilogo New Area Definition
2. Digite 10 na caixa Area ID. Voc pode deixar as outras caixas de dilogo com as
configuraes padro
3. Clique em OK.
Observao: o ID da rea para o OSPF muito importante. Existem vrios

tipos de reas OSPF. Verifique a rea correta em que os dispositivos de
permetro devem estar para que funcionem corretamente com o resto da
configurao na rede.
HOL-1703-SDC-1-PT
Page 85
HOL-1703-SDC-1-PT
Adicione a interface de trnsito ao mapeamento de rea

para interface
Agora s precisamos direcionar o OSPF para a comunicao pela interface que se
comunicar com os roteadores distribudos.
1.
2.
3.
4.
Clique no sinal "+" verde ao lado de Area to Interface Mapping

Selecione Transit_Network_01 em vNIC
Selecione 10 em Area
Clique em OK
HOL-1703-SDC-1-PT
Page 86
HOL-1703-SDC-1-PT
Confirme se o roteamento OSPF est rodando no Edge de

permetro
Agora podemos confirmar que ativamos e configuramos o OSPF no perimeter-edge.
Confirme se todas as informaes exibidas esto corretas.
Configurar a redistribuio de rota

1. Clique em Route Redistribution para abrir a pgina de configurao principal
da redistribuio de rota.
2. Clique em Edit direita de Route Redistribution Status para abrir a caixa de
dilogo Change redistribution settings
HOL-1703-SDC-1-PT
Page 87
HOL-1703-SDC-1-PT
Alterar as configuraes de redistribuio

1. Clique na caixa de dilogo OSPF
2. Verifique se a caixa de dilogo BGP est marcada
3. Clique em OK
Observao: O BGP o protocolo de roteamento usado entre o Perimeter-Gateway-01
e o roteador vPod.
Editar os critrios de redistribuio de BGP

1.
2.
3.
4.
Destaque BGP na tabela Route Redistribution em Learner

Clique no cone de lpis para editar o Learner selecionado do permetro.
Clique na caixa de dilogo OSPF
Clique em OK
Configurar a redistribuio de rota OSPF

1. Clique no sinal "+" verde na tabela Route Redistribution
2. Selecione OSPF como Learner Protocol
3. Clique na caixa de dilogo BGP
HOL-1703-SDC-1-PT
Page 88
HOL-1703-SDC-1-PT
4. Clique na caixa de dilogo Connected

5. Clique em OK
HOL-1703-SDC-1-PT
Page 89
HOL-1703-SDC-1-PT
Revise a nova topologia

Examinando a configurao da topologia, voc pode ver como est ocorrendo o peering
de rota entre o roteador distribudo e o dispositivo Edge de permetro do NSX. Todas as
redes criadas sob o roteador distribudo agora sero distribudas at o permetro e,
nesse ponto, voc poder controlar a forma como ela roteado para a sua rede fsica.
A prxima seo abordar isso em mais detalhes.
Verifique a comunicao com o aplicativo de trs camadas

Agora vamos verificar se o roteamento est funcionando. As informaes de
roteamento do roteador distribudo para o Perimeter-Gateway esto sendo trocadas, o
que restaurou a conectividade ao aplicativo Web. Para verificar isso, testaremos
novamente o aplicativo Web.
1. Clique na guia que voc tinha aberto anteriormente para o aplicativo Web, que
talvez diga "503 Service Temp..." na guia do teste que falhou.
2. Atualize seu navegador para verificar se o aplicativo de 3 camadas funciona
novamente
HOL-1703-SDC-1-PT
Page 90
HOL-1703-SDC-1-PT
Observao: A propagao da rota pode levar um pouco por causa deste ambiente
virtualizado estar em outro virtualizado.
Roteamento distribudo e dinmico concludo

Isso conclui a seo sobre a configurao do roteamento dinmico e distribudo. Na
prxima seo, revisaremos o roteamento centralizado com o Edge de permetro.
HOL-1703-SDC-1-PT
Page 91
HOL-1703-SDC-1-PT
Roteamento centralizado
Nesta seo, examinaremos diversos elementos para vermos como o roteamento feito
em direo a sada a partir do permetro. Isso inclui a forma como o roteamento
dinmico OSPF controlado, atualizado e propagado pelo sistema. Verificaremos o
roteamento no appliance Edge de permetro at o appliance de roteamento virtual que
executa e roteia o laboratrio inteiro.
Observao especial: na rea de trabalho, voc encontrar um arquivo
chamado README.txt. Ele contm os comandos da CLI necessrios nos
exerccios do laboratrio. Se voc no conseguir digit-los, poder copi-los e
col-los nas sesses do putty. Caso voc veja um nmero com "chaves - {1}"
isso dir a voc para procurar o comando da CLI para este mdulo no arquivo
de texto.
HOL-1703-SDC-1-PT
Page 92
HOL-1703-SDC-1-PT
Topologia atual do laboratrio

Este diagrama a topologia atual do laboratrio, incluindo o link em direo a sada at
o roteador vPod. Voc pode observar que o OSPF est redistribuindo rotas do roteador
NSX Edge at o roteador lgico distribudo.
Examine o roteamento OSPF no Perimeter-Gateway.

Primeiro, confirmaremos se o aplicativo Web est funcionando, ento nos conectaremos
ao gateway de permetro do NSX para visualizarmos os vizinhos OSPF e vermos a
distribuio de rotas existente. Isso mostrar como o gateway de permetro est
aprendendo as rotas no s do roteador distribudo, mas tambm do roteador vPod que
est executando o laboratrio inteiro.
HOL-1703-SDC-1-PT
Page 93
HOL-1703-SDC-1-PT
Confirme a funcionalidade de aplicativo de camada 3

2. Clique no favorito chamado Customer DB App
HOL-1703-SDC-1-PT
Page 94
HOL-1703-SDC-1-PT
Aplicativo Web retornando informaes do banco de dados

Antes de voc comear a configurar o Roteamento distribudo, vamos verificar se o
aplicativo Web de 3 camadas est funcionando corretamente. As trs camadas do
aplicativo (Web, aplicativo e banco de dados) esto em switches lgicos diferentes e o
NSX Edge fornece o roteamento entre as camadas.
O servidor Web retornar uma pgina Web com as informaes do cliente
armazenadas no banco de dados.
HOL-1703-SDC-1-PT
Page 95
HOL-1703-SDC-1-PT
Navegue at a VM do Perimeter-Gateway
Selecione VMs and Templates
HOL-1703-SDC-1-PT
Page 96
HOL-1703-SDC-1-PT
Iniciar o console remoto

1.
2.
3.
4.
Expanda a pasta RegionalA01

Selecione Perimeter-Gateway-01-0
Selecione a guia Summary
Clique em Launch Remote Console
HOL-1703-SDC-1-PT
Page 97
HOL-1703-SDC-1-PT
Acessar o console remoto

Quando a janela VMRC abrir pela primeira vez, ela estar preta. Clique dentro da janela
e pressione Enter algumas vezes para fazer o console aparecer do protetor de tela.
***OBSERVAO*** Para liberar seu cursor da janela, pressione as teclas
Ctrl+Alt
Fazer login no gateway de permetro

Faa login no gateway de permetro com as credenciais a seguir. Observe que todos os
dispositivos Edge tm senhas complexas de 12 caracteres.
Nome de usurio:admin
Senha: VMware1!VMware1!
HOL-1703-SDC-1-PT
Page 98
HOL-1703-SDC-1-PT

Em muitos dos mdulos, voc dever inserir comandos da interface de linha
de comando (CLI, Command Line Interface). H duas maneiras de enviar
comandos da CLI para o laboratrio.
1. Destaque o comando da CLI no manual e use Control+c para copiar para
a rea de transferncia.
Na segunda, um arquivo de texto (README.txt) foi colocado na rea de
trabalho do ambiente, permitindo que voc copie e cole com facilidade
comandos ou senhas complexos nos utilitrios associados (CMD, Putty,
console etc). Com frequncia, determinados caracteres no esto presentes
em teclados usados no mundo. Este arquivo de texto tambm includo para
layouts de teclado que no oferecem esses caracteres.
O arquivo de texto chama-se README.txt e pode ser encontrado na rea de
trabalho.
Visualizar os vizinhos BGP

A primeira coisa que faremos examinar os vizinhos BGP at o Edge de permetro, que
est no meio da camada de roteamento do laboratrio.
OBSERVAO - a concluso da guia funciona em dispositivos Edge no NSX.
HOL-1703-SDC-1-PT
Page 99
HOL-1703-SDC-1-PT
Digite show ip bgp neighbor.

show ip bgp neighbor
Reviso das informaes sobre o vizinho BGP exibido

Agora, vamos revisar o contedo exibido e o seu significado.
1. BGP neighbor is 192.168.100.1 - a ID do roteador vPod dentro do ambiente
do NSX
2. Remote AS 65002 - mostra o nmero do sistema autnomo da rede externa do
roteador vPod
3. BGP state = Established, up - significa que a adjacncia do vizinho BGP est
completa e os roteadores BGP enviaro pacotes de atualizao para trocar
informaes de roteamento.
HOL-1703-SDC-1-PT
Page 100
HOL-1703-SDC-1-PT
Revise rotas no Edge de permetro e a origem delas

Digite show ip route
Pressione Enter
show ip route
Revise informaes sobre rota

Vamos revisar o contedo das rotas exibidas.
1. A primeira linha mostra a nossa rota default, que se origina no roteador vPod
(192.168.100.1) e o B no incio das linhas mostra que ela foi aprendida via BGP.
2. A linha 172.16.10.0/24 o switch lgico Web-Tier e sua interface. J que ele
est diretamente conectado ao Edge, h um C no incio da linha para demonstrar
isso.
3. A seo com um 3 compe as duas outras partes do nosso aplicativo Web, que
so os segmentos de rede para a camada do aplicativo e do banco de dados.
Como na linha 1, elas tm um O no incio da linha para denotar que foram
aprendidas via OSPF por meio do roteador distribudo (192.168.5.2).
Controle da distribuio de rotas BGP

Pode haver uma situao em que voc s desejar que as rotas BGP sejam distribudas
dentro do ambiente virtual, mas no para o ambiente fsico externo. Podemos controlar
essa distribuio de rotas com facilidade na interface do Edge.
HOL-1703-SDC-1-PT
Page 101
HOL-1703-SDC-1-PT
Navegue at o NSX no vSphere Web Client

**OBSERVAO** Voc precisa pressionar Ctrl+Alt para sair da janela VMRC do
Perimeter-Gateway
Volte ao vSphere Web Client
Clique no cone Home, ento selecione Networking and Security
Acesse o Perimeter-Gateway
1. Clique em NSX Edges
2. Clique duas vezes em edge-3
HOL-1703-SDC-1-PT
Page 102
HOL-1703-SDC-1-PT
Acesse a configurao do roteamento BGP

1. Selecione a guia Manage
2. Clique em Routing
3. Clique em BGP no painel esquerdo
Remover relacionamento de vizinhana BGP com o

roteador vPod
Agora, removeremos o mapeamento da rea BGP Local AS 65002. Ao fazermos isso, o
gateway de permetro e o roteador vPod no tero mais troca de rota.
1. Destaque o endereo IP do roteador vPod, 192.168.100.1, na seo Neighbors
2. Clique no X vermelho para excluir o relacionamento de vizinho selecionado.
HOL-1703-SDC-1-PT
Page 103
HOL-1703-SDC-1-PT
Confirme a excluso
Clique em Yes
Publicar a alterao
1. Clique no boto Publish Changes para enviar a alterao de configurao por
push.
Navegue at o VMRC do gateway de permetro

Selecione Perimeter-Gateway em sua barra de tarefas
Mostrar vizinhos BGP

**OBSERVAO** Assim que a janela aparecer, talvez seja necessrio clicar
dentro dela e pressionar a tecla Enter para fazer a tela aparecer
1. Digite show ip bgp neighbor e pressione Enter
Voc ver que o roteador vPod (192.168.250.1) saiu da lista.
HOL-1703-SDC-1-PT
Page 104
HOL-1703-SDC-1-PT
Mostrar as rotas
1. Digite show ip route e pressione Enter
show ip route
Voc pode ver que as nicas rotas aprendidas via OSPF esto vindo do roteador
distribudo (192.168.5.2)
HOL-1703-SDC-1-PT
Page 105
HOL-1703-SDC-1-PT
Verifique se o aplicativo de trs camadas para de

funcionar
Perimeter-Gateway
Como no existem rotas entre o seu centro de controle e o ambiente de rede virtual, o
aplicativo Web dever falhar.
1. Clique na guia HOL - Multi-Tier App
2. Clique em Refresh.
O aplicativo poder levar alguns instantes para o timeout, talvez seja necessrio
selecionar o "x" vermelho para parar o navegador. Se voc observar os dados do
cliente, talvez eles tenham sido obtidos do cache anteriormente e talvez seja necessrio
fechar e reabrir o navegador para corrigi-los.
HOL-1703-SDC-1-PT
Page 106
HOL-1703-SDC-1-PT
Reestabelea o peering de rota

Agora vamos recriar o peering de rota entre o gateway de permetro e o roteador vPod.
Navegue de volta para o seu vSphere Web Client
HOL-1703-SDC-1-PT
Page 107
HOL-1703-SDC-1-PT
Adicionar novamente a configurao de vizinho BGP

1.
2.
3.
4.
Clique no cone "+" verde no painel Neighbors

Digite 192.168.100.1 em IP Address
Digite 65002 em Remote AS
Clique em OK
Publicar a alterao
1. Clique no boto Publish Changes para enviar a alterao de configurao por
push.
HOL-1703-SDC-1-PT
Page 108
HOL-1703-SDC-1-PT
Navegue at o VMRC do gateway de permetro

Selecione Perimeter-Gateway em sua barra de tarefas

**OBSERVAO** Assim que a janela aparecer, talvez seja necessrio clicar
dentro dela e pressionar a tecla Enter para fazer a tela aparecer
1. Digite show ip bgp neighbor e pressione Enter
Voc ver que o roteador vPod (192.168.100.1) saiu da lista.
Revise rotas no Edge de permetro e a origem delas

Digite "show ip route"
show ip route
HOL-1703-SDC-1-PT
Page 109
HOL-1703-SDC-1-PT
Mostrar as rotas
A rota padro e a rede conectada do roteador vPod (192.168.100.1) voltaram para a
lista.
HOL-1703-SDC-1-PT
Page 110
HOL-1703-SDC-1-PT
Verifique se o aplicativo de trs camadas est funcionando

Perimeter-Gateway
Com as rotas novamente definidas, o aplicativo Web dever funcionar outra vez.
1. Clique na guia HOL - Multi-Tier App
2. Clique em Refresh.
Isso conclui esta seo do laboratrio e prosseguiremos para o ECMP e a alta
disponibilidade com os NSX Edges.
HOL-1703-SDC-1-PT
Page 111
HOL-1703-SDC-1-PT
ECMP e alta disponibilidade

Nesta seo, adicionaremos outro gateway de permetro rede e usaremos o ECMP
(Equal Cost Multipath Routing) para escalar horizontalmente a capacidade do Edge e
aumentar sua disponibilidade. Com o NSX, podemos executar uma adio de um
dispositivo Edge e ativar o ECMP.
O ECMP uma estratgia de roteamento que permite o encaminhamento de pacotes ao
prximo hop para um nico destino e pode ocorrer por vrios caminhos otimizados.
Esses caminhos otimizados podem ser adicionados estaticamente ou como resultado de
clculos de mtrica por protocolos de roteamento dinmico como OSPF ou BGP. O Edge
Services Gateway utiliza a implementao de pilha de rede do Linux, um algoritmo
round-robin com um componente de aleatoriedade. Depois que o prximo hop for
selecionado para um determinado par de endereos IP de origem e de destino, o cache
de rota armazena o prximo hop selecionado. Todos os pacotes para esse fluxo vo para
o prximo hop selecionado. O roteador lgico distribudo usa um algoritmo XOR para
determinar o prximo hop de uma lista de possveis prximos hops ECMP. Esse
algoritmo usa o endereo IP de origem e de destino no pacote de sada para que se
mantenha aleatoriedade na distribuio de pacotes.
Agora vamos configurar um novo gateway de permetro e estabelecer um cluster ECMP
entre os gateways de permetro para o roteador lgico distribudo para aproveitar a
capacidade e a disponibilidade aumentadas. Ns testaremos a disponibilidade
desligando um dos gateways de permetros e observando a alterao no caminho de
trfego.
HOL-1703-SDC-1-PT
Page 112
HOL-1703-SDC-1-PT
Navegue at o NSX no vSphere Web Client

Perimeter-Gateway
Volte ao vSphere Web Client.
1. Clique no cone Home
2. Clique em Networking & Security
HOL-1703-SDC-1-PT
Page 113
HOL-1703-SDC-1-PT
Adicione outro Edge de gateway de permetro

A nossa primeira etapa adicionar outro dispositivo Edge de permetro.
2. Clique no sinal "+" verde
HOL-1703-SDC-1-PT
Page 114
HOL-1703-SDC-1-PT
Selecione e nomeie o Edge

1. Clique em Edge Services Gateway como Install Type
2. Digite Perimeter-Gateway-02 em Name
3. Clique em Next
Defina a senha
1.
2.
3.
4.
Insira a senha VMware1!VMware1!

Confirme a senha VMware1!VMware1!
Marque Enable SSH Access
Clique em Next
HOL-1703-SDC-1-PT
Page 115
HOL-1703-SDC-1-PT
OBSERVAO - todas as senhas de NSX Edges so senhas complexas de 12

caracteres.
HOL-1703-SDC-1-PT
Page 116
HOL-1703-SDC-1-PT
Adicione um appliance Edge

1. Clique no sinal "+" verde em NSX Appliances para fazer a caixa de dilogo Add
NSX Edge Appliance aparecer
2. Selecione RegionA01-MGMT01 como Cluster/Resource Pool
3. Selecione RegionA01-ISCSI01-MGMT01 como Datastore
4. Selecione esx-04a.corp.local como o host
5. Clique em OK
HOL-1703-SDC-1-PT
Page 117
HOL-1703-SDC-1-PT
Continue a implantao
1. Clique em Next
HOL-1703-SDC-1-PT
Page 118
HOL-1703-SDC-1-PT
Adicione a interface Uplink

1. Clique no sinal "+" verde para adicionar a primeira interface
HOL-1703-SDC-1-PT
Page 119
HOL-1703-SDC-1-PT
Selecione Switch Connected To

Ns escolhemos a interface do switch voltada para o norte para este permetro, que
um port group distribudas.
1.
2.
3.
4.
Clique em Select ao lado do campo Connected To

Clique em Distributed Portgroup
Selecione Uplink-RegionA01-vDS-MGMT
Clique em OK
Nomeie e adicione o IP
1.
2.
3.
4.
Insira Uplink em Name

Selecione Uplink em Type
Clique no sinal "+" verde
Digite 192.168.100.4 em Primary IP Address
HOL-1703-SDC-1-PT
Page 120
HOL-1703-SDC-1-PT
5. Insira 24 em Subnet Prefix Length

6. Clique em OK
HOL-1703-SDC-1-PT
Page 121
HOL-1703-SDC-1-PT
Adicione a interface Edge Transit

1. Clique no sinal "+" verde para adicionar a segunda interface
HOL-1703-SDC-1-PT
Page 122
HOL-1703-SDC-1-PT
Selecione Switch Connected To

Ns escolhemos a interface do switch voltada para o norte para este permetro, que
um switch lgico baseado em VXLAN.
1.
2.
3.
4.
Clique em Select ao lado do campo Connected To

Clique em Logical Switch
Selecione Transit_Network_01_5006
Clique em OK
Nomeie e adicione o IP
1. Insira Transit_Network_01 em Name
2. Selecione Internal em Type
HOL-1703-SDC-1-PT
Page 123
HOL-1703-SDC-1-PT
4. Insira 192.168.5.4 em Primary IP Address

5. Insira 29 em Subnet Prefix Length
OBSERVAO - 29, no 24! Digite o nmero correto ou o laboratrio no
funcionar.
6. Clique em OK
HOL-1703-SDC-1-PT
Page 124
HOL-1703-SDC-1-PT
Continue a implantao
IMPORTANTE Antes de continuar, revise as informaes e se os nmeros de IP
Addresses e de Subnet Prefix esto corretos.
1. Clique em Next
Remova o gateway padro

Estamos removendo o gateway padro porque receberemos essa informao
via OSPF
1. DESMARQUE Configure Default gateway
HOL-1703-SDC-1-PT
Page 125
HOL-1703-SDC-1-PT
2. Clique em Next
HOL-1703-SDC-1-PT
Page 126
HOL-1703-SDC-1-PT
Configuraes padro de firewall

1. MARQUE Configure Firewall default policy
2. Selecione ACCEPT
3. Clique em Next
HOL-1703-SDC-1-PT
Page 127
HOL-1703-SDC-1-PT
Finalize a implantao
Clique em Finish para iniciar a implantao
Implantao do Edge
A implantao do Edge pode demorar alguns minutos.
1. Ns observaremos que o status do Edge-7 diz Busy e que tambm mostra 1
item installing. Isso significa que a implantao est em andamento.
2. Ns podemos clicar no cone de atualizao no cliente Web para acelerar a
atualizao automtica nessa tela.
HOL-1703-SDC-1-PT
Page 128
HOL-1703-SDC-1-PT
quando o status mostrar Deployed, voc poder seguir para a prxima etapa.
Observao: se o status do Edge-7 no puder ser visto, rolar at a janela direita
permitir que o status da implantao seja visualizado.
Configure o roteamento no novo Edge

Agora, voc deve configurar o OSPF no novo dispositivo Edge antes de podermos ativar
o ECMP.
1. Clique duas vezes no edge-7 recm-implantado
Configurao global de roteamento

Devemos definir a configurao base para identificarmos o roteador para a rede.
1.
2.
3.
4.
5.
Clique na guia Manage

Clique na guia Routing
Selecione Global Configuration no painel esquerdo
Clique em Edit ao lado de Dynamic Routing Configuration
Selecione Uplink -192.168.100.4 como Router ID
HOL-1703-SDC-1-PT
Page 129
HOL-1703-SDC-1-PT
6. Clique em OK
HOL-1703-SDC-1-PT
Page 130
HOL-1703-SDC-1-PT
Ative o OSPF
1.
2.
3.
4.
Selecione OSPF no painel esquerdo

Clique em Edit ao lado de OSPF Configuration
MARQUE Enable OSPF
Clique em OK
HOL-1703-SDC-1-PT
Page 131
HOL-1703-SDC-1-PT
Adicione uma nova rea

1. Clique no sinal "+" verde ao lado de Area Definitions
2. Insira 10 como Area ID
3. Clique em OK
HOL-1703-SDC-1-PT
Page 132
HOL-1703-SDC-1-PT
Adicione o mapeamento da interface Transit

Agora deve ser feito o mesmo para a interface downlink at o roteador distribudo
1.
2.
3.
4.
Clique no sinal "+" verde ao lado de Area to Interface Mapping

Selecione Transit_Network_01 como vNIC
Selecione 10 como Area
Clique em OK
HOL-1703-SDC-1-PT
Page 133
HOL-1703-SDC-1-PT
Ativar o BGP
1.
2.
3.
4.
5.
Selecione BGP no painel esquerdo

Clique em Edit ao lado de BGP Configuration
MARQUE Enable BGP
Insira 65001 como o Local AS
Clique em OK
HOL-1703-SDC-1-PT
Page 134
HOL-1703-SDC-1-PT
Adicionar novo vizinho

1.
2.
3.
4.
Clique no sinal "+ verde ao lado de Neighbors

Insira Digite 192.168.100.1 em IP Address
Insira 65002em Remote AS
Clique em OK
HOL-1703-SDC-1-PT
Page 135
HOL-1703-SDC-1-PT
Ative a distribuio de rota BGP e OSPF

Agora, devemos ativar a redistribuio de rotas BGP e OSPF para que as rotas possam
ser acessadas por meio deste permetro.
1.
2.
3.
4.
5.
Clique em Route Redistribution no painel esquerdo

Clique em Edit para Route Redistribution Status
Marque OSPF
Marque BGP
Marque OK
HOL-1703-SDC-1-PT
Page 136
HOL-1703-SDC-1-PT
Ativar a tabela de distribuio de rotas

1.
2.
3.
4.
Clique no sinal de mais verde em Route Redistribution Table

Marque BGP
Marque Connected
Clique em OK
HOL-1703-SDC-1-PT
Page 137
HOL-1703-SDC-1-PT
Tabela de distribuio de rotas BGP

1.
2.
3.
4.
5.
Clique no sinal "+" verde em Route Redistribution Table

Selecione BGP como Learner Protocol
Marque OSPF
Marque Connected
Clique em OK
HOL-1703-SDC-1-PT
Page 138
HOL-1703-SDC-1-PT
Ativar o ECMP
Vamos ativar o ECMP no roteador distribudo e nos gateways de permetro
1. Clique no boto back de Networking & Security no painel Navigator
HOL-1703-SDC-1-PT
Page 139
HOL-1703-SDC-1-PT
Ativar o ECMP no roteador distribudo

Primeiro ativaremos o ECMP no roteador distribudo
2. Clique duas vezes em edge-6
Ativar o ECMP no DLR

1.
2.
3.
4.
Clique
Clique
Clique
Clique
na guia Manage
na guia Routing
em Global Configuration no painel esquerdo
no ENABLE Button ao lado de ECMP
HOL-1703-SDC-1-PT
Page 140
HOL-1703-SDC-1-PT
Publicar a alterao
1. Clique em Publish Changes para enviar a alterao de configurao por push.
Voltar para Edge Devices

1. Clique no boto back de Networking & Security para voltar para a pgina
anterior.
Acesse o gateway de permetro 01

1. Clique duas vezes em edge-3 (gateway de permetro 01)
HOL-1703-SDC-1-PT
Page 141
HOL-1703-SDC-1-PT
Ativar o ECMP no gateway de permetro 01

1.
2.
3.
4.
Clique
Clique
Clique
Clique
na guia Manage
na guia Routing
no boto Enable ao lado de ECMP
Publicar a alterao

Clique no boto back de Networking & Security para voltar para a pgina
anterior.
Acessar o gateway de permetro 02
HOL-1703-SDC-1-PT
Page 142
HOL-1703-SDC-1-PT
Clique duas vezes em Edge-7 - gateway de permetro 02
Ativar o ECMP no gateway de permetro 02

1.
2.
3.
4.
Clique
Clique
Clique
Clique
na guia Manage
na guia Routing
no ENABLE Button ao lado de ECMP
Publicar a alterao
HOL-1703-SDC-1-PT
Page 143
HOL-1703-SDC-1-PT
Viso geral da topologia

Neste estgio, esta a topologia do laboratrio. Ela inclui o novo gateway de permetro
adicionado, o roteamento configurado e o ECMP ativado.
Verificar a funcionalidade ECMP do roteador distribudo

Agora vamos acessar o roteador distribudo para garantirmos que o OSPF esteja se
comunicando e que o ECMP esteja funcionando.
2. Selecione VMs and Templates
HOL-1703-SDC-1-PT
Page 144
HOL-1703-SDC-1-PT
Iniciar o console remoto

1.
2.
3.
4.
5.
Clique no cone Refresh

Expanda a pasta RegionA01
Selecione Distributed-Router-01-0
Selecione a guia Summary
Clique em Launch Remote Console
HOL-1703-SDC-1-PT
Page 145
HOL-1703-SDC-1-PT
Acessar o console remoto

Quando a janela VMRC abrir pela primeira vez, ela estar preta. Clique dentro da janela
e pressione Enter algumas vezes para fazer o console aparecer do protetor de tela.
Observao: para liberar seu cursor da janela, pressione as teclas Ctrl+Alt
Fazer login no gateway de permetro

Faa login no roteador distribudo com as credenciais a seguir
1. Nome de usurio: admin
2. Senha: VMware1!VMware1!
HOL-1703-SDC-1-PT
Page 146
HOL-1703-SDC-1-PT
Visualizar os vizinhos OSPF

A primeira ao que faremos examinar os vizinhos OSPF at o roteador distribudo.
1. Digite show ip ospf neighbors e pressione Enter. (Lembre-se de usar a
opo SEND TEXT).
show ip ospf neighbors
Isso nos mostra que agora o roteador distribudo tem dois vizinhos OSPF. Os vizinhos
so Perimeter-Gateway-1(192.168.100.3) e Perimeter-Gateway-2
(192.168.100.4).
Observao: a concluso da guia funciona em dispositivos Edge no NSX.
HOL-1703-SDC-1-PT
Page 147
HOL-1703-SDC-1-PT
Revisar rotas do roteador distribudo para Edges de

permetro
1. Insira show ip route e pressione Enter
show ip route
Observao: os segmentos de rede do roteador vPod e a rota padro so publicados

por meio de endereos de rede do gateway de permetro. As setas vermelhas acima
esto apontando para os endereos do Perimeter-Gateway-01 e do PerimeterGateway-02.
Deixe essa janela aberta para as prximas etapas.
Verificar a funcionalidade ECMP do roteador vPod

Observao: para liberar seu cursor da janela, pressione as teclas Ctrl+Alt
Agora examinaremos o ECMP do roteador vPod, que simula um roteador fsico em sua
rede.
1. Clique no cone PuTTY na Barra de Tarefas
HOL-1703-SDC-1-PT
Page 148
HOL-1703-SDC-1-PT
Abrir a sesso SSH para o roteador vPod

1. Usando a barra de rolagem, role para baixo e selecione vPod Router
2. Clique em Load
3. Clique em Open
Fazer login no roteador vPod

A sesso Putty deve fazer login automaticamente como o usurio root
HOL-1703-SDC-1-PT
Page 149
HOL-1703-SDC-1-PT
Acessar o mdulo BGP

Devemos fazer telnet no mdulo que controla o BGP no roteador vPod.
1. Insira telnet localhost 2605 e pressione Enter. (Lembre-se de usar a opo
SEND TEXT).
telnet localhost 2605
2. Insira a senha VMware1!
HOL-1703-SDC-1-PT
Page 150
HOL-1703-SDC-1-PT

Devemos fazer telnet no mdulo que controla o OSPF no roteador vPod.
1. Insira show ip bgp neighbors e pressione Enter
show ip bgp neighbors
2. Ns veremos Perimeter-Gateway-01 (192.168.100.3) como um vizinho BGP

com um estado BGP Established, up
Verificar o relacionamento de Perimeter-Gateway-02

1. Verifique na parte inferior da lista BGP Neighbors se vemos PerimeterGateway-02 (192.168.100.4) como um vizinho BGP com um estado BGP
Established, up
Mostrar as rotas
1. Insira show ip bgp e pressione Enter
show ip bgp
2. Nesta seo, voc observa que todas as redes tm dois roteadores de prximo hop
listados e isso acontece porque Perimeter-Gateway-01 (192.168.100.3) e
HOL-1703-SDC-1-PT
Page 151
HOL-1703-SDC-1-PT
Perimeter-Gateway-02 (192.168.100.4) so vizinhos estabelecidos para essas

redes.
Neste ponto, todo o trfego conectado ao roteador distribudo poder sair dos gateways
de permetro com ECMP.
HOL-1703-SDC-1-PT
Page 152
HOL-1703-SDC-1-PT
Desligar o gateway de permetro 01

Simularemos um n ficando offline ao desligarmos o Perimeter-Gateway-01
Volte ao seu vSphere Web Client
1.
2.
3.
4.
Expanda as pastas RegionA01

Clique com o boto direito do mouse em Perimeter-Gateway-01-0
Clique em Power
Clique em Shut Down Guest OS
HOL-1703-SDC-1-PT
Page 153
HOL-1703-SDC-1-PT
Confirmar o desligamento
1. Clique em Yes
Testar a alta disponibilidade com ECMP

Com o ECMP, BGP e o OSPF no ambiente, podemos alterar as rotas dinamicamente no
caso de uma falha em um determinado caminho. Agora simularemos a queda de um
dos caminhos e a redistribuio da rota.
1. Clique no cone do Prompt de Comando na barra de tarefas
HOL-1703-SDC-1-PT
Page 154
HOL-1703-SDC-1-PT
Ping db-01a no servidor de banco de dados

1. Insira ping -t db-01a e pressione Enter
ping -t db-01a
Voc ver os pings do centro de controle para o servidor de banco de dados

(db-01a) comearem. Deixe essa janela aberta e em execuo enquanto prossegue
para a prxima etapa.
Acessar a console remoto do roteador distribudo

Acessar a console remoto para o roteador distribudo no desktop chamado
Distributed-Router-01-0
Verificar as rotas atuais

show ip route
Observao: somente o Perimeter-Gateway-02 est disponvel para acessar os

segmentos de rede do roteador vPod.
HOL-1703-SDC-1-PT
Page 155
HOL-1703-SDC-1-PT
HOL-1703-SDC-1-PT
Page 156
HOL-1703-SDC-1-PT
Ligar o gateway de permetro 01

Volte ao seu vSphere Web Client
1.
2.
3.
4.
Expanda as pastas RegionA01

Clique com o boto direito do mouse em Perimeter-Gateway-01-0
Clique em Power
Clique em Power On
HOL-1703-SDC-1-PT
Page 157
HOL-1703-SDC-1-PT
Verificar se Perimeter-Gateway-01 est online

Levar um minuto ou dois para que a VM seja ligada. Assim que ela mostrar que as
VMTools esto online no VM Summary, voc poder prosseguir para a prxima etapa.
1. Clique no cone Refresh para verificar se h atualizaes no status das VMTools.
Voltar para o teste de ping

Na barra de tarefas, volte para o prompt de comando que est executando o
teste de ping.
HOL-1703-SDC-1-PT
Page 158
HOL-1703-SDC-1-PT
Pareamento de vizinho BGP

Embora essa no seja uma representao clara do failover do Perimeter-Gateway-02
para o Perimeter-Gateway-01, o trfego de ping migraria do Perimeter-Gateway-02 para
o Perimeter-Gateway-01 com impacto mnimo caso o caminho ativo ficasse inativo.
Acessar a console remoto do roteador distribudo

Acessar a console remoto para o roteador distribudo no desktop chamado
Distributed-Router-01-0
HOL-1703-SDC-1-PT
Page 159
HOL-1703-SDC-1-PT
Mostrar as rotas
vamos verificar o status das rotas no Distributed Router 01 desde que ligamos o
Perimeter-Gateway-01b novamente.
show ip route
Observao: agora devemos ver que todas as redes do roteador vPod voltaram
conectividade dupla.
Observao final sobre ECMP

Uma observao final sobre ECMP e HA neste laboratrio. Embora tenhamos feito voc
desligar o Perimeter-Gateway-01, o resultado de fazer isso no PerimeterGateway-02 seria o mesmo.
A nica ressalva que o Customer DB App no funcionar quando o PerimeterGateway-01 estiver offline, j que as VMs do servidor Web esto diretamente
conectadas a ele. Isso poderia ser resolvido movendo a camada da Web para o
Distributed-Router-01, como foi feito com as redes do banco de dados e do aplicativo na
seo Roteamento dinmico e distribudo deste laboratrio. Depois de concludo, o
Customer DB App funcionar caso o Perimeter Gateway 1 ou 2 esteja off-line.
importante observar que a execuo dessa migrao prejudicar os outros
mdulos deste laboratrio! Esse o motivo porque isso no ser feito como
HOL-1703-SDC-1-PT
Page 160
HOL-1703-SDC-1-PT
parte do manual. Se voc no for experimentar os outros mdulos, poder

executar essa migrao sem problemas.
HOL-1703-SDC-1-PT
Page 161
HOL-1703-SDC-1-PT
Antes de passar para o Mdulo 3 conclua as etapas de limpeza a seguir

Caso voc planeje prosseguir para qualquer outro mdulo deste laboratrio depois de
concluir o Mdulo 2, dever concluir as etapas a seguir ou o laboratrio no funcionar
adequadamente daqui em diante.
Exclua o segundo dispositivo Edge de permetro

1. Volte ao vSphere Web Client
2. Clique no cone Home, ento em Networking & Security
HOL-1703-SDC-1-PT
Page 162
HOL-1703-SDC-1-PT
Exclua o Edge-7
Precisamos excluir o Edge que acabamos de criar
1. Selecione NSX Edges
2. Selecione Edge-7
3. Clique no X vermelho para excluir
Confirme a excluso
1. Clique em Yes para confirmar a excluso.
HOL-1703-SDC-1-PT
Page 163
HOL-1703-SDC-1-PT
Desative o ECMP no DLR e o Perimeter Gateway-01

1. Clique duas vezes em Edge-6
Desative o ECMP no roteador distribudo

1.
2.
3.
4.
Clique
Clique
Clique
Clique
na guia Manage
na guia Routing
em DISABLE Button ao lado de ECMP
Publicar a alterao
HOL-1703-SDC-1-PT
Page 164
HOL-1703-SDC-1-PT

1. Clique no boto back de Networking & Security para voltar para a pgina
anterior.
Acesse o gateway de permetro 1

1. Clique duas vezes em Edge-3
HOL-1703-SDC-1-PT
Page 165
HOL-1703-SDC-1-PT
Desative o ECMP no gateway de permetro 1

1.
2.
3.
4.
Clique
Clique
Clique
Clique
na guia Manage
na guia Routing
em DISABLE Button ao lado de ECMP
Publicar a alterao
HOL-1703-SDC-1-PT
Page 166
HOL-1703-SDC-1-PT
Concluso do Mdulo 3
Neste mdulo, mostramos os recursos de roteamento do NSX para o servio de kernel
do hypervisor, o roteador lgico distribudo, bem como os recursos de servios
avanados dos NSX Edge Services Gateway.
Ns abordamos a migrao de switches lgicos do gateway de servios do Edge para o
roteador lgico distribudo (DLR), e a configurao de um protocolo de roteamento
dinmico entre o Edge e o DLR. Ns tambm revisamos os recursos de roteamento
centralizados do gateway de servios do Edge e as informaes de emparelhamento de
rota dinmica. Por fim, pudemos demonstrar a escalabilidade e a disponibilidade dos
gateways de servios do Edge em uma configurao de rota ECMP (vrios caminhos de
custo equivalente). Ns implantamos um novo gateway de servios do Edge e
estabelecemos o emparelhamento de rota com o DLR e o roteador vPod para aumentar
o throughput e a disponibilidade aproveitando o ECMP. Ns tambm limpamos nossa
configurao ECMP para nos prepararmos para outro mdulo deste ambiente de
laboratrio.

Se voc estiver procurando por informaes adicionais sobre os recursos e a
configurao do roteamento do NSX e ento examine o centro de documentao do
NSX 6.2 por meio do URL abaixo:
preparao de hosts.
HOL-1703-SDC-1-PT
Page 167
HOL-1703-SDC-1-PT

de carga.
camadas.
Mdulo
Unido
Mdulo
Mdulo
Mdulo
Mdulo
Mdulo

2
3
4
5
6


HOL-1703-SDC-1-PT
Page 168
HOL-1703-SDC-1-PT
Mdulo 4 - Edge Service

Gateway - ESG (60
minutos)
HOL-1703-SDC-1-PT
Page 169
HOL-1703-SDC-1-PT
Introduo ao NSX Edge Services

Gateway
O NSX Edge oferece servios de segurana e de gateway de permetro de rede para
isolar uma rede virtualizada. Voc pode instalar um NSX Edge como um roteador lgico
(distribudo) ou como um gateway de servios.
O roteador lgico (distribudo) do NSX Edge oferece roteamento distribudo Leste-Oeste
com isolamento para o intervlo de endereamento IP (multi-tenant) e do plano de
dados. As mquinas virtuais ou as cargas de trabalho que residem no mesmo host em
subnets diferentes podem se comunicar umas com as outras sem precisar atravessar
uma interface de roteamento tradicional.
O NSX Edge Services Gateway conecta redes stub isoladas a redes compartilhadas
(uplink) ao fornecer servios de gateway comuns, como DHCP, VPN, NAT, roteamento
dinmico e balanceamento de carga. As implantaes comuns de NSX Edges incluem os
ambientes de DMZ, VPN, Extranets e ambientes multi-tenant em nuvem, onde o NSX
Edge cria limites virtuais para cada tenant.
Este mdulo contm as seguintes lies:
Implantar o Edge Services Gateway

Configurar o Edge Services Gateway como balanceador de carga
Balanceador de carga Edge Services Gateway - verificar a configurao
Firewall do Edge Services Gateway
Transmisso DHCP
Configurao do L2VPN
Concluso
HOL-1703-SDC-1-PT
Page 170
HOL-1703-SDC-1-PT
Implantar o Edge Services Gateway

como balanceador de carga
O NSX Edge Services Gateway tambm pode oferecer a funcionalidade de
balanceamento de carga. Empregar um balanceador de carga vantajoso porque ele
leva a uma utilizao de recursos mais eficiente. Os exemplos podem incluir um uso
mais eficiente de throughput de rede, tempos de resposta mais curtos para aplicativos,
a capacidade de escalar e tambm pode fazer parte de uma estratgia para garantir a
redundncia e a disponibilidade de servio.
As solicitaes TCP, UDP, HTTP ou HTTPS podem ter sua carga equilibrada utilizando o
gateway de servios do NSX Edge. O gateway de servios do Edge pode fornecer
balanceamento de carga at a Camada 7 do modelo OSI (Open Systems
Interconnection).
Nesta seo, implantaremos e vamos configurar um novo appliance do NSX Edge como
um balanceador de carga em modo One-Armed.
Validar se o laboratrio est pronto

O status do laboratrio mostrado no desktop da VM Main Console do
Windows.
As verificaes de validao garantem que todos os componentes do laboratrio sejam
corretamente implantadas e, assim que a validao for concluda, o status ser
atualizado para Green/Ready. possvel ter uma falha de implantao de laboratrio
devido a restries de recursos do ambiente.

Se voc ainda no tiver feito login no vSphere Web Client:
HOL-1703-SDC-1-PT
Page 171
HOL-1703-SDC-1-PT
Clique no cone do Google Chrome na Barra de Tarefas. A pgina inicial deve ser o
vSphere Web Client.
1. Marque a caixa Use Windows session authentication
2. Clique no boto Login
HOL-1703-SDC-1-PT
Page 172
HOL-1703-SDC-1-PT
Obtenha espao na tela ao recolher o painel direito de

tarefas
Clicar nos Push-Pins permitir que os painis de tarefa sejam recolhidos e forneam
mais espao de visualizao para o painel principal. Voc tambm pode recolher o
painel esquerdo para obter o mximo de espao.
HOL-1703-SDC-1-PT
Page 173
HOL-1703-SDC-1-PT
Abra Networking & Security

1. Clique em "Networking & Security"
Criao de um novo Edge Services Gateway

Ns vamos configurar o servio de balanceamento de carga em modo One-Armed em
um Edge Services Gateway. Para iniciar o processo de criao do Edge Services
Gateway, verifique se est na seo Networking & Security do vSphere Web Client:
2. Clique no cone do sinal "+ verde (+)
Definio do nome e do tipo

Para o novo NSX Edge Services Gateway, defina as seguintes opes de configurao
1. Insira o nome: OneArm-LoadBalancer
HOL-1703-SDC-1-PT
Page 174
HOL-1703-SDC-1-PT
2. Clique no boto Next
HOL-1703-SDC-1-PT
Page 175
HOL-1703-SDC-1-PT
Configurao da conta do administrador

1. Defina a senha como: VMware1!VMware1!
Definio do tamanho do Edge e do posicionamento da VM

Existem quatro tamanhos de appliance diferentes que podem ser escolhidos para o
Edge Services Gateway, com as seguintes especificaes (nmero de CPUs, memria):
Compact: 1 vCPU, 512 MB

Large: 2 vCPUs, 1024 MB
Quad Large: 4 vCPUs, 1024 MB
X-Large: 6 vCPUs, 8192 MB
Ns selecionaremos um Edge de tamanho compacto para este novo Edge Services

Gateway, mas vale a pena lembrar que esses Edge Services Gateway tambm podem
ser atualizados para um tamanho maior aps a implantao. Para continuar com a
criao do novo Gateway de servios do Edge:
HOL-1703-SDC-1-PT
Page 176
HOL-1703-SDC-1-PT
1. Clique no cone de sinal "+" verde para abrir a janela pop-up Add NSX Edge
Appliances.
HOL-1703-SDC-1-PT
Page 177
HOL-1703-SDC-1-PT
Posicionamento do cluster/datastore
1. Selecione RegionA01-MGMT01 como seu posicionamento de Cluster/Resource
Pool
2. Selecione RegionA01-ISCSI01-MGMT01 como posicionamento de Datastore
3. Selecione um host esx-05-a.corp.local
4. Clique em OK
HOL-1703-SDC-1-PT
Page 178
HOL-1703-SDC-1-PT
Configurar a implantao
HOL-1703-SDC-1-PT
Page 179
HOL-1703-SDC-1-PT
Incluindo uma nova interface de rede no NSX Edge

J que ele um balanceador de carga em modo One-Armed, s precisar de uma
interface de rede. Nesta seo do processo do novo NSX Edge, daremos a esse Edge
um novo adaptador de rede e vamos configur-lo.
1. Clique no cone do sinal "+" verde.
HOL-1703-SDC-1-PT
Page 180
HOL-1703-SDC-1-PT
Configurao da nova interface de rede do NSX Edge

Este o local onde vamos configurar a primeira interface de rede para o novo NSX
Edge.
1. D nova interface o nome WebNetwork
2. Marque Internal como um tipo
3. Clicando no link Select
HOL-1703-SDC-1-PT
Page 181
HOL-1703-SDC-1-PT
Seleo de rede para nova interface do Edge

Essa interface do balanceador de carga em modo One-Armed precisar estar na mesma
rede que os dois servidores da Web para os quais este Edge fornecer servios de
1. Selecione a guia Logical Switch
2. Selecione o boto de opo de Web_Tier_Logical_Switch (5000)
3. Clique no boto OK
HOL-1703-SDC-1-PT
Page 182
HOL-1703-SDC-1-PT
Configurao das Subnets

1. Em seguida, vamos configurar um endereo IP para esta interface. Clique no
pequeno cone de sinal "+" verde.
HOL-1703-SDC-1-PT
Page 183
HOL-1703-SDC-1-PT
Configurao do pop-up Subnets

Para adicionar um novo endereo IP a esta interface:
1. Insira um endereo IP 172.16.10.10
2. Insira um comprimento de prefixo de sub-rede 24
3. Clique em OK
HOL-1703-SDC-1-PT
Page 184
HOL-1703-SDC-1-PT
Confirme a lista de interfaces

Examinar configuraes/selees
1. Clique no boto Next para continuar
HOL-1703-SDC-1-PT
Page 185
HOL-1703-SDC-1-PT
Configurao do Default Gateway

Nesta prxima seo de aprovisionamento, um novo Edge nos permitir configurar o
Default Gateway para este Edge Services Gateway. Para configurar o gateway:
1. Insira um IP de gateway 172.16.10.1
HOL-1703-SDC-1-PT
Page 186
HOL-1703-SDC-1-PT
Configurao de opes de firewall e de HA

Para economizar tempo depois, podemos configurar algumas opes padro do firewall,
bem como ativar um Edge Services Gateway a ser executado em modo de alta
disponibilidade (HA). Nenhum recurso relevante para esta seo em particular do
mdulo e, portanto, para continuar, configure o seguinte:
1. Marque a caixa de seleo Configure Firewall default policy
2. Selecione Accept as the Default Traffic Policy
3. Clique em Next
HOL-1703-SDC-1-PT
Page 187
HOL-1703-SDC-1-PT
Reviso da configurao geral e Finalize

Confirme se a configurao se parece com esta captura de tela.
HOL-1703-SDC-1-PT
Page 188
HOL-1703-SDC-1-PT
Monitoramento da implantao
Para monitorar a implantao do Gateway de servios do Edge:
1. Clique no boto Installing enquanto o Edge estiver sendo implantado para ver o
andamento das etapas da instalao.
Depois disso, veremos o andamento da implantao do Edge.
HOL-1703-SDC-1-PT
Page 189
HOL-1703-SDC-1-PT
Configurar o Edge Services Gateway

como balanceador de carga
Agora que o Edge Services Gateway foi implantado, vamos configurar os servios de
Configure o servio do balanceador de carga

Acima, representada a topologia eventual que teremos para o servio do balanceador
de carga fornecido pelo NSX Edge Services Gateway que acabamos de implantar. Para
comear, na rea NSX Edges do plug-in Networking & Security para o vSphere Web
Client, clique duas vezes no Edge em cuja pgina de manuteno acabamos de entrar.
HOL-1703-SDC-1-PT
Page 190
HOL-1703-SDC-1-PT
Configure o recurso de balanceamento de carga no

balanceador de carga em modo One-Armed
1. Clique duas vezes em edge-7 (OneArm-LoadBalancer)
Navegando at a pgina de gerenciamento do novo Edge

1.
2.
3.
4.
Clique na guia Manage (se ela ainda no tiver sido selecionada)

Clique na subguia Load Balancer
Clique em Global Configuration (se ela ainda no tiver sido selecionada)
Clique no boto Edit para ir para a janela pop-up de configurao global Edit
Load Balancer
HOL-1703-SDC-1-PT
Page 191
HOL-1703-SDC-1-PT
Edite a Configurao global do Balanceador de carga

Para ativar o servio do balanceador de carga;
1. Marque a caixa de seleo Enable Load Balancer
2. Clique no boto OK
HOL-1703-SDC-1-PT
Page 192
HOL-1703-SDC-1-PT
Criao de um novo perfil de aplicativo

Um perfil de aplicativo como ns definimos o comportamento de um tipo de trfego
de rede tpico. Esses perfis so ento aplicados a um servidor virtual (VIP) que tratar
do trfego com base nos valores especificados no perfil de aplicativo.
A utilizao de perfis pode tornar as tarefas de gerenciamento de trfego menos
propensas a erro e mais eficientes.
1. Clique em Application Profiles
2. Clique no cone de sinal "+" para abrir a janela pop-up New Profile
HOL-1703-SDC-1-PT
Page 193
HOL-1703-SDC-1-PT
Configurao do HTTPS de um novo perfil de aplicativo

Para o novo perfil de aplicativo, configure as seguintes opes:
1. Nome: OneArmWeb-01
2. Tipo: HTTPS
3. Marque a caixa de seleo Enable SSL Passthrough. Isso permitir que o
HTTPS seja encerrado no servidor do pool.
4. Clique no boto OK quando terminar
HOL-1703-SDC-1-PT
Page 194
HOL-1703-SDC-1-PT
Modifique o monitor padro de HTTPS

Os monitores garantem que os membros do pool que atendem aos servidores virtuais
estejam prontos e funcionando. O monitor HTTPS padro simplesmente far um "GET"
em "/". Modificaremos o monitor padro para fazermos uma verificao de integridade
no URL especfico do aplicativo. Isso ajudar a determinar que no s os servidores
membros do pool esto prontos e funcionando, mas que o aplicativo tambm est.
1.
2.
3.
4.
5.
Clique em Service Monitoring

Clique e realce default_https_monitor
Clique no cone de lpis
Digite "/cgi-bin/hol.cgi" como URL
Clique em OK
HOL-1703-SDC-1-PT
Page 195
HOL-1703-SDC-1-PT
Crie um novo pool

Um grupo de servidores de Pool a entidade que representa os ns para os quais est
sendo feito o balanceamento de carga do trfego. Ns adicionaremos os dois servidores
da Web web-01a e web-02a a um novo pool. Para criar o novo pool, primeiro:
1. Clique em Pools
2. Clique no cone de sinal "+" verde para abrir a janela pop-up Edit Pool
HOL-1703-SDC-1-PT
Page 196
HOL-1703-SDC-1-PT
Configurao do novo pool

Para as configuraes neste novo pool, configure o seguinte:
1. Nome: Web-Tier-Pool-01
2. Monitores: default_https_monitor
HOL-1703-SDC-1-PT
Page 197
HOL-1703-SDC-1-PT
Adicione membros ao pool

1.
2.
3.
4.
5.
Insira web-01a como Name

Insira 172.16.10.11 como IP Address
Insira 443 em Port
Insira 443 em Monitor Port
Clique em OK
Repita o processo acima para adicionar mais um membro do pool usando as

informaes a seguir
Nome: web-02a
Endereo IP: 172.16.10.12
Porta: 443
Porta de monitoramento: 443
HOL-1703-SDC-1-PT
Page 198
HOL-1703-SDC-1-PT
Salve as configuraes do pool

1. Clique em OK
HOL-1703-SDC-1-PT
Page 199
HOL-1703-SDC-1-PT
Crie um novo servidor virtual

Um servidor virtual a entidade que aceita o trfego do "front-end" de uma
configurao de servio com balanceamento de carga. O trfego do usurio
direcionado para o endereo IP representado pelo servidor virtual e ento redistribudo
para ns no "back-end" do balanceador de carga. Para configurar um novo servidor
virtual neste Gateway de servios do Edge, primeiro
1. Clique em Virtual Servers
2. Clique no cone de sinal "+" verde pequeno para abrir a janela pop-up New
Virtual Server
HOL-1703-SDC-1-PT
Page 200
HOL-1703-SDC-1-PT
Configure o novo servidor virtual

Configure as opes a seguir para o novo servidor virtual:
1.
2.
3.
4.
5.
Nomeie este servidor virtual como Web-Tier-VIP-01.

Insira 172.16.10.10 como IP address.
Selecione HTTPS como Protocol.
Selecione Web-Tier-Pool-01
Clique no boto OK para concluir a criao deste novo servidor virtual
HOL-1703-SDC-1-PT
Page 201
HOL-1703-SDC-1-PT
Balanceador de carga do Edge Services

Gateway - verificar a configurao
Agora que configuramos os servios de balanceamento de carga, verificaremos a
configurao.
Teste o acesso ao servidor virtual

1. Clique em uma guia em branco do navegador
2. Clique no marcador de favoritos para 1-Arm LB Customer DB
3. Clique em Advanced
HOL-1703-SDC-1-PT
Page 202
HOL-1703-SDC-1-PT
Ignore o erro de SSL

1. Clique em Proceed to 172.16.10.10 (unsafe)
HOL-1703-SDC-1-PT
Page 203
HOL-1703-SDC-1-PT
Teste o acesso ao servidor virtual

Neste momento, devemos obter xito ao acessar o balanceador de carga em modo
One-Armed que acabamos de configurar!
1. Clicar no boto de atualizao de pgina permitir a voc ver o acesso
alternado(Round-Robin) nos dois membros do pool.
Talvez seja necessrio clicar algumas vezes para atualizar o navegador sem
utilizar o cache do navegador.
HOL-1703-SDC-1-PT
Page 204
HOL-1703-SDC-1-PT
Mostre as estatsticas do pool

Clique na guia do navegador do vSphere Web Client
Para ver o status dos membros individuais do pool:
1. Clique em Pools
2. Clique em Show Pool Statistics.
3. Clique em "pool-1"
Ns veremos o status atual de todos os membros.
4. Feche a janela clicando no X.
Aprimoramento de resposta do monitor (Health Check)

Para auxiliar na soluo de problemas, agora o comando "show ...pool" do balanceador
de carga do NSX 6.2 gerar uma descrio informativa para falhas de membro do pool.
Ns criaremos duas falhas diferentes e examinaremos a resposta usando comandos
show no Edge Gateway do balanceador de carga.
Clique na guia do navegador vSphere Web Client.
1. Digite "LoadBalancer" no canto superior direito da caixa de pesquisa do
vSphere Web Client.
HOL-1703-SDC-1-PT
Page 205
HOL-1703-SDC-1-PT
2. Clique em "OneArm-LoadBalancer-0".
Abra o console do balanceador de carga

1. Clique na guia Summary
2. Clique em Launch Remote Console
Observao: o console ser aberto em uma nova guia do navegador
HOL-1703-SDC-1-PT
Page 206
HOL-1703-SDC-1-PT
Faa login no OneArm-LoadBalancer-0

1. Faa login usando usurio: admin e senha: VMware1!VMware1!
HOL-1703-SDC-1-PT
Page 207
HOL-1703-SDC-1-PT

Em muitos dos mdulos, ns teremos de inserir comandos da interface (CLI, Command
Line Interface). H duas maneiras de enviar comandos da CLI para o laboratrio.
1. Destaque o comando da CLI no manual e use Control+c para copiar para a
rea de transferncia.
Na segunda, um arquivo de texto (README.txt) foi colocado na rea de trabalho do
ambiente, fornecendo a voc todas as contas e senhas de usurio para o ambiente.
HOL-1703-SDC-1-PT
Page 208
HOL-1703-SDC-1-PT
Examine o status do pool antes da falha

Faa login com o nome de usurio "admin" e a senha "VMware1!VMware1!"
Digite show service loadbalancer pool (lembre-se de usar a opo SEND TEXT).
show service loadbalancer pool
Observao: o status do membro do pool web-sv-01a mostrado como "UP"
Inicie o PuTTY
1. Clique no atalho PuTTY na Barra de Incio do Windows.
HOL-1703-SDC-1-PT
Page 209
HOL-1703-SDC-1-PT
SSH para web-01a.corp.local

1.
2.
3.
4.
Role para baixo at Web-01a.corp.local

Selecione Web-01a.corp.local
Clique em Load
Clique em Open
Desligue o HTTPD
Ns desligaremos o HTTPD para simular a primeira condio de falha
1. Digite service httpd stop para desligar o HTTPD.
service httpd stop
Console do balanceador de carga

Digite show service loadbalancer pool
HOL-1703-SDC-1-PT
Page 210
HOL-1703-SDC-1-PT
Como o servio est inativo, o detalhe da falha mostrar que o cliente no conseguiu
estabelecer a sesso SSL.
HOL-1703-SDC-1-PT
Page 211
HOL-1703-SDC-1-PT
Reinicie o servio HTTPD

Volte para a sesso SSH do Putty para web-01a
1. Digite service httpd start
service httpd start
Desligue web-01a
Navegue de volta para o navegador Chrome e o vSphere Web Client.
1. No canto superior direito da caixa de pesquisa do vSphere Web Client, digite
"web-01a"
2. Clique em web-01a
Desligue web-01a
1. Clique em Actions
HOL-1703-SDC-1-PT
Page 212
HOL-1703-SDC-1-PT
2. Clique em Power
3. Clique em Power Off
Clique em Yes para confirmar.
Verifique o status do pool

Digite show service loadbalancer pool
Como agora a VM est inativa, o detalhe da falha mostrar que o cliente no conseguiu
estabelecer a conexo L4, ao contrrio da conexo L7 (SSL) da etapa anterior.
Ligue web-01a
Clique novamente na guia vSphere Web Client do navegador
HOL-1703-SDC-1-PT
Page 213
HOL-1703-SDC-1-PT
1. Clique em Actions.
2. Clique em Power
3. Clique em Power On
Concluso
Neste laboratrio, implantamos e configuramos um novo Edge Services Gateway e
ativamos os servios de balanceamento de carga para o aplicativo 1-Arm LB
Customer DB.
Isso conclui a lio sobre o balanceador de carga do gateway de servios do Edge. Em
seguida, saberemos mais sobre o firewall do Edge Services Gateway.
HOL-1703-SDC-1-PT
Page 214
HOL-1703-SDC-1-PT
Firewall do Edge Services Gateway

O firewall do NSX Edge monitora o trfego Norte-Sul para fornecer a funcionalidade de
segurana de permetro, incluindo firewall, NAT (Network Address Translation), bem
como a funcionalidade IPSec site-to-site e VPN SSL. As configuraes do firewall se
aplicam ao trfego que no corresponde a nenhuma regra de firewall definida pelo
usurio. A poltica de firewall do Edge padro bloqueia todo o trfego de entrada.
Trabalhando com regras do firewall do NSX Edge

Podemos navegar at um NSX Edge para ver as regras de firewall que se aplicam a ele.
As regras de firewall aplicadas a um roteador lgico s protegem o trfego da camada
de controle de e para a mquina virtual do roteador lgico de controle. Elas no impem
qualquer proteo ao plano de dados. Para proteger o trfego do plano de dados, crie
regras do firewall lgico para proteo Leste-Oeste no nvel do Edge Services Gateway
para a proteo Norte-Sul.
As regras criadas na interface do usurio do firewall aplicvel a este NSX Edge so
exibidas em um modo somente leitura. As regras so exibidas e impostas na seguinte
ordem:
1. As regras definidas pelo usurio atravs da interface do usurio do firewall
(somente leitura).
2. Regras autoconectadas (regras que permitem que o trfego de controle flua para
servios do Edge).
3. As regras definidas pelo usurio atravs da interface do usurio do firewall do
NSX Edge.
4. Regra padro(default).
HOL-1703-SDC-1-PT
Page 215
HOL-1703-SDC-1-PT
Clique em Networking & Security

Abrir um NSX Edge

2. Clique duas vezes em Perimeter Gateway-01
HOL-1703-SDC-1-PT
Page 216
HOL-1703-SDC-1-PT
Abrir a guia Manage

1. Selecione a guia Manage
2. Selecione Firewall
3. Selecione a Default Rule, que a ltima regra na tabela do firewall.
Edite a ao de regra de firewall

1. Aponte o mouse para a clula Action da regra e clique
2. Clique no menu suspenso Action e selecione Deny
HOL-1703-SDC-1-PT
Page 217
HOL-1703-SDC-1-PT
Publique as alteraes
Ns no faremos alteraes permanentes na configurao do firewall do gateway de
servios do Edge.
1. Selecione Revert para reverter as alteraes.
Adicionando uma regra no firewall do Edge Services

Gateway
Agora que j conhecemos a edio de uma regra de firewall do Edge Service Gateway,
adicionaremos uma nova regra de firewall do Edge que bloquear o acesso do Control
Center ao Customer DB App.
1. Selecione o smbolo verde (+) para adicionar uma nova regra de firewall.
2. Passe o mouse sobre o canto superior direito da coluna Name e selecione o
smbolo (+)
3. Insira o nome da regra: Main Console FW Rule
4. Clique em OK.
HOL-1703-SDC-1-PT
Page 218
HOL-1703-SDC-1-PT
Especifique a origem
Passe o mouse sobre o canto superior direito do campo Source e selecione o smbolo (+)
1.
2.
3.
4.
5.
Clique no menu suspenso Object Type e selecione IP Sets

Clique no link New IP Set...
Digite Main Console na caixa de texto IP Set Name
Digite o endereo IP do Control Center: 192.168.110.10
Clique em OK
HOL-1703-SDC-1-PT
Page 219
HOL-1703-SDC-1-PT
Confirme a origem
1. Confirme se Main Console est em Selected Objects
2. Clique em OK
HOL-1703-SDC-1-PT
Page 220
HOL-1703-SDC-1-PT
Especifique o Destino
Passe o mouse sobre o canto superior direito da coluna Destination e selecione o
smbolo (+)
1. Clique no menu suspenso Object Type e selecione Logical Switch
2. Clique em Web_Tier_Logical_Switch
3. Clique na seta para a direita para mover Web_Tier_Logical_Switch para
Selected Objects
4. Clique em OK
Configurar ao
1. No canto superior direito da coluna Action, clique no cone (+)
2. Clique no menu suspenso Action e selecione Deny
3. Clique em OK.
HOL-1703-SDC-1-PT
Page 221
HOL-1703-SDC-1-PT
1. Clique em Publish Changes
Testar nova regra de firewall

Agora que j configuramos uma nova regra de firewall que bloquear o acesso do
Control Center ao switch lgico da camada Web, vamos executar um teste rpido:
1. Abra uma nova guia do navegador Chrome
2. Clique no bookmark favorito chamado Customer DB App
3. Verifique se Main Console no pode acessar o Customer DB App
Depois de alguns instantes, devemos ver uma pgina do navegador declarando que o
site no pode ser acessado. Agora, vamos modificar a regra de firewall para permitir
que o Main Console acesse o Customer DB App.
Alterar a regra Main Console FW para Accept

Volte para a guia vSphere Web Client.
HOL-1703-SDC-1-PT
Page 222
HOL-1703-SDC-1-PT
1. Clique no smbolo (+) no canto superior direito da coluna Action da regra Main
Console FW
2. Clique no menu suspenso Action e selecione a opo Accept
3. Clique em OK.
HOL-1703-SDC-1-PT
Page 223
HOL-1703-SDC-1-PT
Confirmar acesso ao Customer DB App

Agora que a regra Main Console FW foi alterada para "Accept", o Main Console pode
acessar o Customer DB App
HOL-1703-SDC-1-PT
Page 224
HOL-1703-SDC-1-PT
Excluir a regra Main Console FW

1. Selecione a linha Main Console FW Rule
2. Clique no cone (x) vermelho para excluir a regra de firewall
Concluso
Neste laboratrio, aprendemos a modificar uma regra de firewall do Edge Services
Gateway existente e a configurar uma nova regra de firewall do Edge que bloqueia o
acesso externo ao Customer DB App.
Isso conclui a lio sobre o firewall do Edge Services Gateway. Em seguida, saberemos
mais sobre como o gateway de servios do Edge pode gerenciar servios DHCP.
HOL-1703-SDC-1-PT
Page 225
HOL-1703-SDC-1-PT
DHCP Relay
Em uma rede onde houver o mesmo segmento de rede, os clientes DHCP podero se
comunicar diretamente com o servidor DHCP. Os servidores DHCP tambm podem
fornecer endereos IP para vrias redes, mesmo aquelas que no estiverem nos
mesmos segmentos deles. Entretanto, quando eles estiverem servindo endereos IP
para intervalos IP fora do seu prprio, no podero se comunicar diretamente com esses
clientes. Isso acontece porque os clientes no tm um endereo IP rotevel ou um
gateway do qual estejam cientes.
Nessas situaes, ser necessrio um agente de DHCP Relay para transmitir o que foi
recebido de clientes DHCP e enviar para o servidor DHCP em unicast. O servidor DHCP
selecionar um escopo DHCP com base no intervalo de onde o unicast est vindo,
retornando-o ao endereo de agente que ento ser transmitido de volta rede original
e para o cliente.
reas tratadas neste laboratrio:
Criar um novo segmento de rede no NSX
Ative o agente DHCP Relay no novo segmento de rede
A utilizao de um escopo DHCP pr-criado em um servidor DHCP que esteja em
outro segmento de rede exige a comunicao de camada 3
Em seguida, inicialize uma VM em branco pela rede (PXE) por meio de opes do
escopo DHCP
Neste laboratrio, os itens a seguir foram pr-configurados
Servidor DHCP baseado no Windows Server com o escopo DHCP e o conjunto de
opes de escopo configurados
Servidor TFTP para os arquivos de inicializao PXE: esse servidor foi instalado,
configurado, e os arquivos do sistema operacional foram carregados.
HOL-1703-SDC-1-PT
Page 226
HOL-1703-SDC-1-PT
Topologia do laboratrio
Este diagrama mostra um layout da topologia final que ser criada e usada neste
mdulo do laboratrio.
Acesse o NSX por meio do Web Client

Acesse a seo Networking & Security do Web Client
1. Clique em Networking & Security no painel esquerdo.
Crie um novo switch lgico

Primeiro, devemos criar um novo switch lgico, que ser a nossa nova rede 172.16.50.0/
24.
HOL-1703-SDC-1-PT
Page 227
HOL-1703-SDC-1-PT
1. Selecione Logical Switches

2. Clique no sinal "+" verde para criar um novo switch lgico
Informe os novos parmetros do switch

Para configurar o switch lgico, devemos definir o nome e a zona de transporte.
1. Transport Zone, clique em Change
HOL-1703-SDC-1-PT
Page 228
HOL-1703-SDC-1-PT
Selecione Transport Zone

1. Selecione RegionA0_TZ
2. Clique em OK
HOL-1703-SDC-1-PT
Page 229
HOL-1703-SDC-1-PT
Informe os novos parmetros do switch

O nome no importa especificamente, mas usado para ajudar na identificao do
switch.
1. Nome = DHCP-Relay
2. Clique em OK
Conecte o switch lgico ao gateway de permetro

Agora, conectaremos o switch lgico a uma interface no gateway de permetro. Essa
interface ser o default gateway para a rede 172.16.50.0/24 como endereo
172.16.50.1.
1. Clique em NSX Edges no painel esquerdo.
2. Clique duas vezes em edge-3, que o Perimeter-Gateway neste laboratrio.
HOL-1703-SDC-1-PT
Page 230
HOL-1703-SDC-1-PT
Adicione uma interface

Esta seo conectar o switch lgico a uma interface no gateway de permetro.
1.
2.
3.
4.
5.
Clique em Manage
Clique em Settings
Clique em Interfaces
Selecione vnic9
Clique no cone de lpis para editar a interface
HOL-1703-SDC-1-PT
Page 231
HOL-1703-SDC-1-PT
Selecione a qual switch lgico a interface est conectada

Selecionaremos a qual switch lgico a interface est conectada.
1. Clique em Select
Selecione o switch lgico recm-criado

Selecione o novo switch lgico que acabamos de criar nas etapas anteriores.
1. Selecione DHCP-Relay Logical Switch
2. Clique em OK
HOL-1703-SDC-1-PT
Page 232
HOL-1703-SDC-1-PT
Adicione um endereo IP interface

Adicionaremos um novo endereo IP.
Configure o endereo IP da interface

Atribuiremos um endereo IP nova interface.
1. Primary IP address = 172.16.50.1
2. Subnet Prefix Length = 24
HOL-1703-SDC-1-PT
Page 233
HOL-1703-SDC-1-PT
Conclua a configurao da interface

Verifique todas as informaes e conclua a configurao
1. Altere o nome de vnic9 para DHCP Relay para facilitar a identificao
posteriormente.
2. Clique em OK
HOL-1703-SDC-1-PT
Page 234
HOL-1703-SDC-1-PT
Configure o DHCP Relay

Permanecendo no gateway de permetro, voc dever fazer a configurao global do
DHCP Relay.
1.
2.
3.
4.
Agora clique na guia Manage

Clique no boto DHCP
Clique na seo Relay no painel esquerdo
Clique em Edit
Configurao global do DHCP

Na configurao global do DHCP, ns selecionamos os servidores DHCP que
respondero a solicitaes de DHCP das nossas VMs guest.
H trs mtodos pelos quais ns podemos definir IPs de servidores DHCP:
Conjuntos de IPs
HOL-1703-SDC-1-PT
Page 235
HOL-1703-SDC-1-PT
Os conjuntos de IPs so configurados em Global Configuration, no NSX Manager, e

permitem que especifiquemos um subconjunto de servidores DHCP ao criar um
agrupamento nomeado.
Endereos IP
possvel especificar manualmente os endereos IP de servidores DHCP neste mtodo.
Nomes de domnio
Esse mtodo permite especificar um nome DNS, que pode ser um ou vrios endereos
de servidor DHCP.
Neste laboratrio, usaremos um endereo IP nico.

1. IP Addresses = 192.168.110.10 o IP do servidor DHCP.
2. Clique em OK
Configure o agente de DHCP Relay

O agente de DHCP Relay transmitir todas as solicitaes DHCP do endereo do
gateway no switch lgico para os servidores DHCP configurados. Devemos adicionar
um agente ao switch lgico/segmento criado em 172.16.50.0/24.
HOL-1703-SDC-1-PT
Page 236
HOL-1703-SDC-1-PT
1. Clique no sinal de mais verde na seo DHCP Relay Agents
Selecione a interface do gateway de permetro

Selecione qual interface do gateway de permetro ter o agente de transmisso.
1. Clique na lista suspensa vNIC, selecione a interface criada anteriormente, DHCP
Relay Internal
2. Clique em OK
Publique configuraes nas configuraes do DHCP Relay

Agora precisamos publicar todas essas alteraes para o roteador distribudo.
HOL-1703-SDC-1-PT
Page 237
HOL-1703-SDC-1-PT
Crie uma VM em branco para a inicializao PXE

Agora criaremos uma VM em branco que inicializar por PXE do servidor DHCP para
onde estamos transmitindo.
2. Clique em Hosts and Clusters
Crie uma nova VM

1.
2.
3.
4.
Expanda RegionA01-COMP01
Selecione esx-02a.corp.local
Selecione o menu suspenso Actions
Em seguida, clique em New Virtual Machine and New Virtual Machine
HOL-1703-SDC-1-PT
Page 238
HOL-1703-SDC-1-PT
Configure a nova VM
1. Selecione Create a New Virtual Machine
2. Clique em Next
HOL-1703-SDC-1-PT
Page 239
HOL-1703-SDC-1-PT
Nomeie a VM
1. Name = PXE VM
2. Clique em Next
HOL-1703-SDC-1-PT
Page 240
HOL-1703-SDC-1-PT
Selecione Host
1. Clique em Next
HOL-1703-SDC-1-PT
Page 241
HOL-1703-SDC-1-PT
Selecionar o armazenamento
Deixe com o valor padro
1. Clique em Next
HOL-1703-SDC-1-PT
Page 242
HOL-1703-SDC-1-PT
Selecione Compatibility
Deixe com o valor default
1. Clique em Next
HOL-1703-SDC-1-PT
Page 243
HOL-1703-SDC-1-PT
Selecione Guest OS
Deixe com o valor default
1. Selecione Linux em Guest OS Family
2. Selecione Other Linux (64-bit) em Guest OS Version
3. Clique em Next
HOL-1703-SDC-1-PT
Page 244
HOL-1703-SDC-1-PT
Especificar o hardware - remover o disco rgido

Precisamos excluir o disco rgido default. Como estamos inicializando da rede, o disco
rgido no ser necessrio. Isso acontece porque a imagem PXE est inicializando e
sendo executada totalmente na RAM.
1. Mova o cursor sobre New Hard Disk e o X aparecer direita. Clique nesse X
para remover o disco rgido.
HOL-1703-SDC-1-PT
Page 245
HOL-1703-SDC-1-PT
Especificar o hardware - escolher a rede

Agora selecionaremos o switch lgico baseado em VXLAN criado anteriormente, DHCPRelay. Ns podemos selecion-lo aqui ou, como alternativa, atribuir a VM ao switch
lgico. Isso feito por meio do menu NSX Logical Switch selecionando o switch lgico e
clicando em add.
1. Selecione a rede que mostra as palavras DHCP Relay. O UUID inteiro do switch
lgico poder variar da captura de tela acima, mas somente um ter DHCPRelay escrito nele. Se voc no conseguir ver a rede listada, clique em "show
more networks".
2. Clique em Next
HOL-1703-SDC-1-PT
Page 246
HOL-1703-SDC-1-PT
Concluir a criao da VM
HOL-1703-SDC-1-PT
Page 247
HOL-1703-SDC-1-PT
Acesse a VM recm-criada
Em seguida, abriremos um console para essa VM e a ligaremos e veremos sua
inicializao da imagem PXE. Ela recebe essas informaes por meio do servidor DHCP
remoto configurado anteriormente.
1. Selecione PXE VM no painel esquerdo
2. Selecione a guia Summary
3. Clique em Launch Remote Console
Ligue a VM
Ligue a nova VM.
1. Clique no boto Play
HOL-1703-SDC-1-PT
Page 248
HOL-1703-SDC-1-PT
Obtendo o DHCP de um servidor remoto

Observe que a VM agora est tentando inicializar e obter um endereo DHCP.
HOL-1703-SDC-1-PT
Page 249
HOL-1703-SDC-1-PT
Inicializao da imagem
Esta tela aparecer assim que a VM tiver um endereo DHCP e estiver fazendo
download da imagem PXE do servidor de inicializao. Esta tela levar cerca de 1 a 2
minutos, prossiga para a prxima etapa.
Verifique o fornecimento de IP pelo DHCP

Enquanto aguardamos a inicializao da VM, podemos verificar o endereo usado no
DHCP Lease.
1. V para o desktop do Main Console e clique duas vezes no cone DHCP.
Visualize os endereos
Podemos examinar qual endereo a VM obteve do servidor DHCP.
1. Expanda as sees clicando nas setas
HOL-1703-SDC-1-PT
Page 250
HOL-1703-SDC-1-PT
2. Selecione Address Leases

3. Voc ver o endereo 172.16.50.10, que est no intervalo criado anteriormente
Visualize as opes
Tambm podemos ver as opes de escopo usadas para inicializar a imagem PXE
1. Selecione Scope Options
2. Voc observar que as opes 66 e 67 foram usadas
Agora voc pode fechar o DHCP.
Acesse a VM inicializada
1. Volte para o console PXE VM selecionando-o na barra de tarefas.
HOL-1703-SDC-1-PT
Page 251
HOL-1703-SDC-1-PT
Verifique o endereo e a conectividade

O widget no canto superior direito da VM mostrar as estatsticas, alm do IP da VM.
Ele deve corresponder ao IP mostrado no DHCP anteriormente.
HOL-1703-SDC-1-PT
Page 252
HOL-1703-SDC-1-PT
Verifique a conectividade
Como o roteamento dinmico j est pronto na rede virtual, temos conectividade com a
VM em sua criao. Podemos verificar isso executando ping na VM do Main Console.
1. Clique no cone do Prompt de Comando na barra de tarefas.
2.
Digite ping 172.16.50.10 e pressione enter.
SEND TEXT).
(Lembre-se de usar a opo
ping 172.16.50.10
Voc ver ento uma resposta de ping da VM. Agora a janela de comando pode ser
fechada.
Concluso
Neste laboratrio, conclumos a criao de um novo segmento de rede, ento
transmitimos as solicitaes de DHCP da rede para um servidor DHCP externo. Ao
fazermos isso, pudemos acessar outras opes de inicializao desse servidor DHCP
externo e PXE em um SO Linux.
Este laboratrio foi concludo. Em seguida, vamos explorar os servios L2VPN do
gateway de servios do Edge.
HOL-1703-SDC-1-PT
Page 253
HOL-1703-SDC-1-PT
Configurao do L2VPN
Neste mdulo, utilizaremos os recursos L2VPN do NSX Edge Gateway para estender
umos limites L2 entre dois clusters vSphere separados. Para demonstrar um caso de uso
baseado nessa capacidade, implantaremos um servidor L2VPN do NSX Edge no cluster
RegionA01-MGMT01 e um cliente L2VPN do NSX Edge no cluster RegionA01-COMP01 e
por fim testaremos o status do tnel para verificar uma configurao bem-sucedida.
Abrir o Google Chrome e navegar at o vSphere Web

Client
1. Abra um navegador Google Chrome do desktop (se ainda no estiver aberto).
Navegar at a seo Networking & Security do vSphere

Web Client
HOL-1703-SDC-1-PT
Page 254
HOL-1703-SDC-1-PT
Criao do NSX Edge Gateway para o L2VPN-Server

Para criar o servio L2VPN Server, primeiro devemos implantar um NSX Edge Gateway
em que esse servio ser executado.
1. Clique em NSX Edges.
2. Clique no sinal "+" verde para criar um novo Edge.
HOL-1703-SDC-1-PT
Page 255
HOL-1703-SDC-1-PT
Configurao de um novo NSX Edge Gateway: L2VPNServer

O assistente New NSX Edge aparecer com a primeira seo, "Name and Description",
exibida. Insira os valores a seguir, correspondentes aos nmeros seguintes. Deixe os
outros campos em branco ou com seus valores padro.
1. Insira L2VPN-Server em Name.
2. Clique em Next.
HOL-1703-SDC-1-PT
Page 256
HOL-1703-SDC-1-PT
Definir configuraes para o novo NSX Edge Gateway:

L2VPN-Server
Na seo Settings do assistente New NSX Edge, execute estas aes:
1. Insira"VMware1!VMware1!" nos campos Password e Confirm Password e deixe
todas as outras opes com seus padres.
2. Clique no boto Next para continuar.
HOL-1703-SDC-1-PT
Page 257
HOL-1703-SDC-1-PT
Adio do novo appliance do NSX Edge: L2VPN-Server

Na janela pop-up modal "Add NSX Edge Appliance" exibida, insira os seguintes
valores:
1.
2.
3.
4.
5.
6.
Clique no sinal "+" verde para criar um novo NSX Edge Appliance.
Defina Cluster/Resource Pool: RegionA01-MGMT01.
Defina Datastore: RegionA01-ISCSI01-MGMT01.
Defina Host: esx-05a.corp.local.
Defina Folder: mquina virtual descoberta.
Clique no boto OK para enviar esta configurao.
HOL-1703-SDC-1-PT
Page 258
HOL-1703-SDC-1-PT
Voltar para Configure Deployment do novo NSX Edge

Gateway: L2VPN-Server
Adicione uma interface

1. Clique no sinal "+" verde para adicionar a interface.
HOL-1703-SDC-1-PT
Page 259
HOL-1703-SDC-1-PT
Adio de uma nova interface ao NSX Edge Gateway:

L2VPN-Server
1. Insira L2VPNServer-Uplink no campo Name.
2. Selecione Uplink para o tipo.
3. Clique no cone de sinal "+" verde para listar os campos para um novo Primary
IP Address.
4. Insira 192.168.5.5 como o endereo IP.
5. Insira 29 em Subnet Prefix Length. Verifique se o comprimento inserido
29 e NO 24
6. Click no link rotulado como Select ao lado da caixa de texto chamada
Connected To.
HOL-1703-SDC-1-PT
Page 260
HOL-1703-SDC-1-PT
Conexo da nova interface a um switch lgico

Verifique se a guia Logical Switch est selecionada e execute as seguintes aes:
1. Clique no boto de opo do switch lgico chamado Transit_Network_01 5006.
2. Clique no boto OK para continuar.
HOL-1703-SDC-1-PT
Page 261
HOL-1703-SDC-1-PT
Confirmao da nova configurao de interface: L2VPNServer

Antes de continuar, examine estas configuraes:
1. Clique em OK para concluir a configurao.
HOL-1703-SDC-1-PT
Page 262
HOL-1703-SDC-1-PT
Continuao da nova configurao do NSX Edge Gateway:

L2VPN-Server
HOL-1703-SDC-1-PT
Page 263
HOL-1703-SDC-1-PT
Definir configuraes de gateway padro para o novo NSX

Edge Gateway: L2VPN-Server
1. Insira Digite 192.168.5.1 em Gateway IP.
2. Clique em Next.
HOL-1703-SDC-1-PT
Page 264
HOL-1703-SDC-1-PT
Definir configuraes de firewall e HA para o novo NSX

Edge Gateway: L2VPN-Server
Para a seo Firewall and HA, configure estas propriedades:
1. Clique na caixa de seleo Configure Firewall default policy.
2. Defina a configurao Default Traffic Policy como Accept.
HOL-1703-SDC-1-PT
Page 265
HOL-1703-SDC-1-PT
Examinar a nova implantao do NSX Edge Gateway e

concluir: L2VPN-Server
1. Clique no boto Finish para comear a implantar o NSX Edge.
Preparao do NSX Edge L2VPN-Server para conexes

L2VPN
Antes de configurarmos o NSX Edge recm-implantado para conexes L2VPN, algumas
etapas preparatrias sero necessrias, incluindo:
1.) Adio de uma interface trunking ao NSX Edge Gateway L2VPN-Server.
2.) Adio de uma subinterface ao NSX Edge Gateway L2VPN-Server.
3.) Configurao do roteamento dinmico (OSPF) no Edge Gateway L2VPN-Server.
HOL-1703-SDC-1-PT
Page 266
HOL-1703-SDC-1-PT
Configurao do NSX Edge L2VPN-Server

1. Clique duas vezes no NSX Edge Gateway que criamos anteriormente, chamado
"L2VPN-Server" para entrar em sua rea de configurao.
Adio da interface trunking

1.
2.
3.
4.
Clique na guia Manage.

Clique na guia Settings.
Clique em Interfaces
Selecione a vNIC com o nmero"1" e o nome"vnic1" como mostrado na
captura de tela.
5. Clique no cone de lpis para abrir o assistente Edit NSX Edge Interface.
Configurao da interface trunking

Na janela Edit NSX Edge Interface que aparecer, insira os seguintes valores:
1. Insira L2VPN-Server-Trunk como o nome.
2. Defina Type: Trunk
HOL-1703-SDC-1-PT
Page 267
HOL-1703-SDC-1-PT
3. Click no link Select ao lado da caixa de texto Connected To.
Seleo do port group de tronco

No pop-up "Connect NSX Edge to a Network", execute estas aes:
1. Clique em Distributed Portgroup.
2. Clique no boto de opo de Trunk-Network-regionA0-vDS-MGMT.
3. Clique no boto OK.
HOL-1703-SDC-1-PT
Page 268
HOL-1703-SDC-1-PT
Adio de uma subinterface interface trunking

1. Clique no cone de sinal "+" verde abaixo do rtulo Sub Interfaces.
HOL-1703-SDC-1-PT
Page 269
HOL-1703-SDC-1-PT
Configurao da subinterface
No pop-up "Add Sub Interface", insira os valores a seguir.
1.
2.
3.
4.
5.
6.
7.
Name: L2VPN-Server-SubInterface
Tunnel Id: 1
Backing Type: Network
Clique no cone de sinal "+" verde.
Insira 172.16.10.1 no campo Primary IP Address
Insira 24 em Subnet Prefix Length.
Click no link Select ao lado da caixa de texto Connected To.
HOL-1703-SDC-1-PT
Page 270
HOL-1703-SDC-1-PT
Conexo da subinterface a um switch lgico

1. Verifique se a guia Logical Switch est selecionada.
2. Clique no boto de opo de Web_Tier_Logical_Switch (5000).
HOL-1703-SDC-1-PT
Page 271
HOL-1703-SDC-1-PT
Confirmao da configurao da nova interface do NSX

Edge
1. Deixe as outras propriedades como os padres no pop-up Edit NSX Edge
Interface e clique no boto OK.
HOL-1703-SDC-1-PT
Page 272
HOL-1703-SDC-1-PT
Configurao do ID do roteador para este NSX Edge

Em seguida, vamos configurar o roteamento dinmico neste Edge Gateway.
1. Clique na subguia Routing deste Edge Gateway,
2. Clique em Global Configuration na barra de navegao esquerda.
3. Clique no boto Edit na seo Dynamic Routing Configuration Isso mostrar
uma janela pop-up onde podemos configurar a Router ID.
Adicionar L2VPNServer-Uplink
1. Clique em OK.
HOL-1703-SDC-1-PT
Page 273
HOL-1703-SDC-1-PT
Publicar as alteraes para definir Router ID

1. Clique no boto Publish Changes para enviar a alterao de configurao para
este Edge Gateway.
HOL-1703-SDC-1-PT
Page 274
HOL-1703-SDC-1-PT
Configurao de OSPF no NSX Edge L2VPN-Server

Fique na subguia Routing e
1. Clique no item OSPF na barra de navegao esquerda.
2. Clique no cone de sinal "+" verde abaixo da seo Area to Interface
Mapping.
HOL-1703-SDC-1-PT
Page 275
HOL-1703-SDC-1-PT
Configurao do mapeamento de rea para a interface

No pop-up "New Area to Interface Mapping", configure os seguintes valores:
1. vNIC: L2VPNServer-Uplink (caso ainda no esteja selecionada)
2. Area: 0
HOL-1703-SDC-1-PT
Page 276
HOL-1703-SDC-1-PT
Ativar o OSPF no NSX Edge L2VPN-Server

1. Para ativar a configurao OSPF neste Edge Gateway, clique no boto Edit na
seo OSPF Configuration.
2. Marque a caixa de seleo Enable OSPF.
Publicar as alteraes do NSX Edge L2VPN-Server

1. Clique no boto Publish Changes para enviar a alterao de configurao para
este Edge Gateway.
HOL-1703-SDC-1-PT
Page 277
HOL-1703-SDC-1-PT
Ativar o OSPF Route Redistribution

1.
2.
3.
4.
Clique em Route Redistribution.

Clique no boto Edit para o status Route Redistribution.
Caixa de seleo OSPF para ativar o OSPF.
Clique no boto OK.
HOL-1703-SDC-1-PT
Page 278
HOL-1703-SDC-1-PT
Adicionar BGP tabela de redistribuio de rotas OSPF

1. Em seguida, clique no cone de sinal "+" verde abaixo da seo da tabela
Route Redistribution.
HOL-1703-SDC-1-PT
Page 279
HOL-1703-SDC-1-PT
Configurar a entrada da tabela Route Redistribution

No pop-up "New Redistribution criteria", configure os seguintes valores:
1. Clique na caixa de seleo Connected e deixe todas as outras caixas de seleo
desmarcadas.
1. Clique no boto Publish Changes.
Uma vez concludo, todos os pr-requisitos foram executados para o prosseguimento da
configurao do servio L2VPN neste Edge Gateway.
Configurao do servio L2VPN no NSX Edge L2VPN-Server

Agora que o endereo 172.16.10.1 pertence ao Edge Gateway L2VPN-Server e ele est
distribuindo suas rotas dinamicamente via OSPF, comearemos a configurar o servio
L2VPN neste Edge Gateway para que o Edge aja como um "Servidor" no L2VPN.
Navegao at a rea de servios de VPN no NSX Edge

Gateway L2VPN-Server
1. Clique na guia VPN.
HOL-1703-SDC-1-PT
Page 280
HOL-1703-SDC-1-PT
2. Clique na seleo L2 VPN na barra de navegao esquerda.

3. Clique no boto Change como mostrado na captura de tela.
Definio das configuraes do servidor L2VPN

Nas definies do servidor L2 VPN, configure os seguintes valores:
1. Defina Encryption Algorithm: ECDHE-RSA-AES256-GCM-SHA384
HOL-1703-SDC-1-PT
Page 281
HOL-1703-SDC-1-PT
Adicionar uma nova configurao de site

1. Clique no cone do sinal "+" verde.
HOL-1703-SDC-1-PT
Page 282
HOL-1703-SDC-1-PT
Configurao de um novo site L2VPN

1.
2.
3.
4.
5.
Marque a caixa de seleo Enable Peer Site.

Insira HOLSite1 no campo de nome.
User ID: siteadmin
Password: VMware1!
Clique no link Select Sub Interfaces
HOL-1703-SDC-1-PT
Page 283
HOL-1703-SDC-1-PT
Seleo de uma subinterface

No pop-up "Select Object", execute estas aes:
1. Selecione o objeto L2VPN-Server-SubInterface.
2. Clique na seta para a direita para mov-lo para a lista Selected Objects.
HOL-1703-SDC-1-PT
Page 284
HOL-1703-SDC-1-PT
Confirmao da configurao do novo site

HOL-1703-SDC-1-PT
Page 285
HOL-1703-SDC-1-PT
Publicar as alteraes para a configurao L2VPN

1. Antes de clicar no boto Publish Changes, verifique se L2VPN Mode est
definido como "Server."
2. Clique no boto Publish Changes para enviar a configurao do servidor L2
VPN.
HOL-1703-SDC-1-PT
Page 286
HOL-1703-SDC-1-PT
Ativar o servio do servidor L2VPN

1. Por fim, para ativar o servio do servidor L2 VPN, clique no boto Enable como
mostrado na captura de tela.
2. Clique em Publish Changes.
Isso conclui a configurao do servidor L2 VPN. Em seguida, implantaremos outro NSX

Edge Gateway novo, que agir como o cliente L2 VPN.
Implantao do NSX Edge Gateway L2VPN-Client

Agora que o lado servidor do L2VPN est configurado, prosseguiremos com a
implantao de outro NSX Edge Gateway para agir como o cliente L2 VPN. Antes de
implantar o NSX Edge Gateway L2VPN Client, precisamos configurar o Uplink e Trunk
port groups distribudos no switch virtual distribudo.
Configurar o Uplink e os Trunk port groups

1. Volte para a tela inicial do vSphere Web Client e selecione Networking
HOL-1703-SDC-1-PT
Page 287
HOL-1703-SDC-1-PT
Configurar o port group distribudo Uplink

1. Selecione RegionA01-vDS-COMP
2. Clique em Create a new port group
HOL-1703-SDC-1-PT
Page 288
HOL-1703-SDC-1-PT
Nomear o novo port group distribudo

1. Entre no Uplink-RegionA01-vDS-COMP
2. Clique em Next
HOL-1703-SDC-1-PT
Page 289
HOL-1703-SDC-1-PT
Definir configuraes
1. Mantenha as configuraes padro e clique em Next
HOL-1703-SDC-1-PT
Page 290
HOL-1703-SDC-1-PT
Pronto para concluir

Repita as etapas anteriores para configurar Trunk-Network-RegionA01-vDS-COMP
HOL-1703-SDC-1-PT
Page 291
HOL-1703-SDC-1-PT
Configurao vDS concluda

1. Quando concludo, voc dever ver os port groups distribudos recm-criados.
2. Clique em Home.
Volte para Networking & Security

HOL-1703-SDC-1-PT
Page 292
HOL-1703-SDC-1-PT
NSX Edges
Criao do novo NSX Edge Gateway para ser o L2VPNClient

1. Clique nocone de sinal de mais verde (+) para abrir o assistente New NSX
Edge.
HOL-1703-SDC-1-PT
Page 293
HOL-1703-SDC-1-PT
Nome e descrio do NSX Edge L2VPN-Client

Para as opes aqui, selecione os seguintes valores:
1. Install Type: Edge Services Gateway
2. Name: L2VPN-Client
3. Verifique se"Deploy NSX Edge" est marcado e clique no boto Next.
HOL-1703-SDC-1-PT
Page 294
HOL-1703-SDC-1-PT
Definio das configuraes do NSX Edge

Para a seo Settings, configure os seguintes valores:
1. User Name: admin
2. Password e confirm password: VMware1!VMware1!
HOL-1703-SDC-1-PT
Page 295
HOL-1703-SDC-1-PT
Configurar o posicionamento do NSX Edge

No pop-up "Add NSX Edge Appliance", configure os seguintes valores:
1.
2.
3.
4.
5.
6.
Clique no sinal "+" verde para criar o NSX Edge Appliance.

Cluster/Resource Pool: RegionA01-COMP01.
Datastore: RegionA01-ISCSI01-COMP01.
Host: esx-03a.corp.local.
Folder: mquina virtual descoberta.
Clique no boto OK para enviar esta configurao de posicionamento de VM do
Edge.
HOL-1703-SDC-1-PT
Page 296
HOL-1703-SDC-1-PT
Confirmar a implantao do NSX Edge

1. Confirme se a configurao parece com a captura de tela mostrada aqui e clique
no boto Next para continuar.
Configurar interfaces para o NSX Edge L2VPN-Client

1. Na seo Configure interfaces do assistente, clique nocone do sinal de mais
verde (+).
HOL-1703-SDC-1-PT
Page 297
HOL-1703-SDC-1-PT
Adicionar nova interface

Para os parmetros nesta interface, insira os seguintes valores:
1.
2.
3.
4.
5.
6.
Name: L2VPN-Client-Uplink
Type: Uplink
Clique no sinal "+" verde para adicionar um novo endereo IP.
Insira 192.168.200.5 em Primary IP Address.
Clique no link Select ao lado da caixa de texto "Connected To" para abrir a lista
de redes para escolher a que esta interface estar conectada.
HOL-1703-SDC-1-PT
Page 298
HOL-1703-SDC-1-PT
Conectar a interface ao port group distribudo

No pop-up "Connect NSX Edge to a Network", execute estas aes:
1. Clique na guia Distributed Portgroup.
2. Clique no boto de opo de Uplink-RegionA01-vDS-COMP.
HOL-1703-SDC-1-PT
Page 299
HOL-1703-SDC-1-PT
Confirmar a configurao da interface

1. Clique em OK para confirmar a nova interface.
HOL-1703-SDC-1-PT
Page 300
HOL-1703-SDC-1-PT
Clique em Next
1. Clique em Next
HOL-1703-SDC-1-PT
Page 301
HOL-1703-SDC-1-PT
Configurar o Default gateway

Na seo Default Gateway Settings, configure os seguintes valores:
1. Gateway IP: 192.168.200.1
HOL-1703-SDC-1-PT
Page 302
HOL-1703-SDC-1-PT
Configuraes de firewall e HA
Na seo "Firewall e HA", execute estas aes:
1. Marque a caixa de seleo Configure Firewall default policy.
2. Clique no boto de opo de Accept for "Default Traffic Policy.
HOL-1703-SDC-1-PT
Page 303
HOL-1703-SDC-1-PT
Confirmar a nova configurao do NSX Edge

1. Clique no boto Finish para enviar a nova configurao do Edge Gateway e
iniciar o processo de implantao.
Configurao do NSX Edge Gateway L2VPN-Client

1. Clique duas vezes na entrada do Edge recm-criado para entrar em sua
rea de gerenciamento.
HOL-1703-SDC-1-PT
Page 304
HOL-1703-SDC-1-PT
Adio da Trunk Interface

Assim como o Edge Gateway L2VPN-Server, tambm h uma necessidade de adicionar
uma Trunk interface nesse Edge. Para abrir a janela de configurao da nova interface,
execute estas aes:
1.
2.
3.
4.
5.
Clique na guia Manage.

Clique na subguia Settings.
Clique na seleo Interfaces na barra de navegao esquerda.
Selecione a interface chamada vnic1 sob a coluna Name.
Clique nocone de lpis para abrir a rea de configurao dessa interface.
HOL-1703-SDC-1-PT
Page 305
HOL-1703-SDC-1-PT
Configurao da Trunk interface

No pop-up Edit NSX Edge Interface, insira os seguintes valores:
1. Name: L2PVN-Client-Trunk
2. Type: Trunk
3. Clique no link Select ao lado da caixa de texto "Connected To" para abrir a lista
de redes do vSphere disponveis s quais essa interface ser conectada.
Conectando ao Trunk port group distribudo

1. Clique na guia Distributed Portgroup.
2. Selecione o boto de opo de Trunk-Network-RegionA01-vDS-COMP.
Configurao da subinterface
Configure a subinterface com os seguintes valores:
1. Clique no sinal "+" verde para adicionar a subinterface.
HOL-1703-SDC-1-PT
Page 306
HOL-1703-SDC-1-PT
2.
3.
4.
5.
6.
7.
8.
Name: L2VPN-Client-SubInterface.
Tunnel ID: 1
Backing Type: Network
Clique no cone do sinal "+" verde
Insira 172.16.10.1 em Primary IP Address.
Clique no link Select ao lado da caixa de texto Network para abrir a lista de
redes disponveis s quais essa subinterface ser conectada.
HOL-1703-SDC-1-PT
Page 307
HOL-1703-SDC-1-PT
Conectar a subinterface rede de VMs

1. Selecione a guia Distributed Portgroup.
2. Marque o boto de opo de VM-RegionA01-vDS-COMP.
HOL-1703-SDC-1-PT
Page 308
HOL-1703-SDC-1-PT
Confirmar a configurao da subinterface

1. Confirme se a configurao da Subinterface se parece com a captura de tela
mostrada aqui e clique no boto OK para continuar.
HOL-1703-SDC-1-PT
Page 309
HOL-1703-SDC-1-PT
Confirmar a adio do trunk e da subinterface

1. Confirme se a configurao da Subinterface se parece com a captura de tela
mostrada aqui e clique no boto OK para continuar a configurar o servio de
cliente L2 VPN.
HOL-1703-SDC-1-PT
Page 310
HOL-1703-SDC-1-PT
Configurar servios do cliente L2VPN

Para iniciar a configurao do cliente L2VPN, execute estas aes:
1.
2.
3.
4.
Clique
Clique
Clique
Clique
na
na
no
no
HOL-1703-SDC-1-PT
subguia VPN.
seleo L2 VPN na barra de navegao esquerda.
boto de opo de Client na rea L2VPN Mode.
boto Change na rea Global Configuration Details.
Page 311
HOL-1703-SDC-1-PT
Configuraes do cliente L2VPN

Para as configuraes de cliente insira os seguintes valores:
1.
2.
3.
4.
5.
Server Address: 192.168.5.5

Encryption algorithm: ECDHE-RSA-AES256-GCM-SHA384
Para os detalhes do usurio, insira siteadmin em User ID,
Insira VMware1! nos campos Password and Confirm Password.
Clique no link Select Sub Interfaces ao lado da lista de subinterfaces
disponveis s quais o servio ser conectado.
Adicionar subinterface
Para adicionar uma nova subinterface ao servio L2 VPN, execute as seguintes aes:
1. Selecione o objeto L2VPN-Client-SubInterface da lista de objetos disponveis
esquerda.
HOL-1703-SDC-1-PT
Page 312
HOL-1703-SDC-1-PT
2. Clique na seta para a direita para mover o objeto para a lista Selected
Objects.
HOL-1703-SDC-1-PT
Page 313
HOL-1703-SDC-1-PT
Confirmar as configuraes do cliente L2VPN

1. Confirme se a configurao parece com a captura de tela aqui e clique no boto
OK para continuar.
HOL-1703-SDC-1-PT
Page 314
HOL-1703-SDC-1-PT
Ativar o servio do cliente L2VPN

1. Para ativar o servio do cliente L2 VPN, clique no boto Enable como mostrado
na captura de tela.
1. Clique em Publish Changes.
Buscar o status de L2VPN

1. Uma vez ativado, clique no boto chamado Fetch Status. Talvez seja necessrio
clicar nisso algumas vezes aps a ativao do servio.
2. Expanda Tunnel Status.
3. Verifique se o Status Up como visto na captura de tela acima.
Parabns! Ns configuramos com sucesso o servio NSX L2VPN.
HOL-1703-SDC-1-PT
Page 315
HOL-1703-SDC-1-PT
Isso conclui a lio sobre a configurao dos servios L2VPN do Edge Services Gateway.
HOL-1703-SDC-1-PT
Page 316
HOL-1703-SDC-1-PT
Concluso do Mdulo 4
Isso conclui o Mdulo 4 - Gateway de servios do Edge: Esperamos que voc tenha
aproveitado o laboratrio! No se esquea de preencher a pesquisa quando terminar.
Acesse https://pubs.vmware.com/NSX-62/index.jsp
Caso tenha tempo sobrando, confira a lista dos outros mdulos que fazem parte deste
laboratrio e o tempo estimado para concluir cada um.
Clique no boto "ndice" para ir rapidamente para um mdulo no manual
preparao de hosts.
de carga.
camadas.
Mdulo 1 - Michael Armstrong, engenheiro de sistemas snior, Reino
Unido
Mdulo 2 - Mostafa Magdy, engenheiro de sistemas snior, Canad
Mdulo 3 - Aaron Ramirez, engenheiro de sistemas da equipe, EUA
HOL-1703-SDC-1-PT
Page 317
HOL-1703-SDC-1-PT
Mdulo 4 - Chris Cousins, engenheiro de sistemas, EUA

Mdulo 5 - Aaron Ramirez, engenheiro de sistemas da equipe, EUA
Mdulo 6 - Brian Wilson, engenheiro de sistemas da equipe, EUA
HOL-1703-SDC-1-PT
Page 318
HOL-1703-SDC-1-PT
Mdulo 5 - Bridge fsicovirtual (60 minutos)
HOL-1703-SDC-1-PT
Page 319
HOL-1703-SDC-1-PT
VxLAN Bridge - Funcionalidade Nativa

O NSX oferece recursos de Bridge L2 (VxLAN Bridge) em software atravs do kernel, o
que permite que as organizaes conectem diretamente as cargas de trabalho
tradicionais e VLANs redes virtualizadas VxLAN. A VxLAN Bridge amplamente usada
em ambientes existentes para simplificar a adoo da virtualizao de redes, bem como
de outros cenrios que envolvam sistemas fsicos que exijam conectividade L2 s
mquinas virtuais.
Os roteadores lgicos distribudos podem oferecer a funcionalidade de bridge L2 entre
as redes lgicas VxLAN do NSX e as VLANs das redes fsicas. Isso permite a criao de
uma Bridge L2 entre um Logical Switch e uma VLAN, permitindo assim a migrao de
dispositivos fsicos para cargas de trabalho virtuais sem afetar os endereos IP. Ao criar
uma Bridge entre o domnio de broadcast do Logical Switch para o domnio de broadcast
da VLAN, a rede lgica VxLAN pode aproveitar um gateway L3 existente e acessar os
recursos de segurana existentes nas redes fsicas. No NSX-V 6.2, essa funo foi
aprimorada, permitindo agora que as Bridges VxLAN sejam conectadas diretamente a
Logical Switches que utilizam Roteadores Lgicos Distribudos (DLR) como Default
Gateway. Esta operao no era permitida em verses anteriores do NSX.
Este mdulo nos guiar pela configurao de uma instncia de Bridge L2 entre uma
VLAN tradicional e um Logical Switch do NSX.
HOL-1703-SDC-1-PT
Page 320
HOL-1703-SDC-1-PT
Introduo
A imagem acima mostra as melhorias de Bridge L2 fornecidas no NSX 6.2:
No NSX 6.0 e 6.1, no era possvel criar uma Bridge em um Logical Switch
conectado a um Roteador Lgico Distribudo: para esse cenrio, era necessrio
conectar o Logical Switch diretamente um Edge Services Gateway (ESG).
No NSX 6.2, essa configurao agora possvel e permite a otimizao do trfego
Leste-Oeste.
Agora voc vai configurar a Bridge L2 do NSX com o NSX 6.2 utilizando a configurao
recm-suportada.

Em muitos dos mdulos, voc dever inserir comandos da interface de linha
de comando (CLI, Command Line Interface). H duas maneiras de enviar
comandos da CLI para o laboratrio.
1. Destaque o comando da CLI no manual e use Control+c para copiar para
a rea de transferncia.
Na segunda, um arquivo de texto (README.txt) foi colocado na rea de
trabalho do ambiente, permitindo que voc copie e cole com facilidade
comandos ou senhas complexos nos utilitrios associados (CMD, Putty,
HOL-1703-SDC-1-PT
Page 321
HOL-1703-SDC-1-PT
console etc). Com frequncia, determinados caracteres no esto presentes

em teclados usados no mundo. Este arquivo de texto tambm includo para
layouts de teclado que no oferecem esses caracteres.
O arquivo de texto chama-se README.txt e pode ser encontrado na rea de
trabalho.
Acesse o vSphere Web Client

Abra o vSphere Web Client por meio do cone do Chrome na rea de trabalho.
HOL-1703-SDC-1-PT
Page 322
HOL-1703-SDC-1-PT
Faa login no vSphere Web Client

Faa login no vSphere Web Client usando a autenticao de sesso do Windows.
1. Clique em Use Windows session authentication - isso preencher
automaticamente com as credenciais administrator@corp.local / VMware1!
2. Clique em Login
Verifique a configurao inicial

Agora voc pode verificar a configurao inicial. O ambiente vem com um Port Group no
Cluster Management & Edge, chamado "Bridged-Net-RegionA0-vDS-MGMT" (Bridge-Net).
As VMs correspondentes aos servidores Web so chamadas "web-01a" e "web-02a"
esto conectadas ao switch lgico Web-Tier-01 no momento e esto isoladas do Port
Group "Bridged-Net". A imagem mostra a topologia.
HOL-1703-SDC-1-PT
Page 323
HOL-1703-SDC-1-PT
Acesse a configurao de rede do vSphere

2. Clique em "Networking" para acessar a interface de configurao de rede do
vSphere.
Acesse o Port Group

1. Expanda a rvore de objetos ("vcsa-01a.corp.local", "RegionA01",
"RegionA01-vDS-MGMT")
2. Clique no port group "Bridged-Net-RegionA0-vDS-MGMT" presente na lista
Edite as Configuraes
1. Clique em Actions.
HOL-1703-SDC-1-PT
Page 324
HOL-1703-SDC-1-PT
2. Clique em Edit Settings.

Observao: vamos definir a VLAN para permitir a apresentao do Port Group
"Bridged-Net" para o Roteador Distribudo criar a Bridge L2.
HOL-1703-SDC-1-PT
Page 325
HOL-1703-SDC-1-PT
Edite as Configuraes de VLAN

1. Clique em VLAN na lista Edit Settings.
2. Clique na lista suspensa VLAN type.
3. Selecione VLAN.
HOL-1703-SDC-1-PT
Page 326
HOL-1703-SDC-1-PT
Adicione a VLAN 101 ao Port Group "Bridge-Net

1. Adicione "101" ao campo VLAN ID.
2. Clique em OK.
HOL-1703-SDC-1-PT
Page 327
HOL-1703-SDC-1-PT
Verifique o ID da VLAN
1. Clique na guia "Summary".
2. Verifique se o Port Group est configurado com a VLAN ID 101.
HOL-1703-SDC-1-PT
Page 328
HOL-1703-SDC-1-PT
Migre a VM web-01a para o cluster RegionA01-MGMT01

2. Selecione VMs and Templates
HOL-1703-SDC-1-PT
Page 329
HOL-1703-SDC-1-PT
Migre a VM web-01a
1.
2.
3.
4.
Expanda a lista suspensa vcsa-01a.corp.local vCenter.

Expanda a lista suspensa RegionA01data center.
Clique com o boto direito do mouse em web-01a.corp.local.
Clique em Migrate.
HOL-1703-SDC-1-PT
Page 330
HOL-1703-SDC-1-PT
Selecione o tipo de migrao

1. Selecione Change both compute resources and storage.
2. Selecione a opo Select compute resource first.
3. Clique em Next.
HOL-1703-SDC-1-PT
Page 331
HOL-1703-SDC-1-PT
Selecione o recurso de processamento

1.
2.
3.
4.
5.

Expanda o cluster RegionA01-MGMT01.
Selecione esx-04a.corp.local.
Clique em Next.
HOL-1703-SDC-1-PT
Page 332
HOL-1703-SDC-1-PT
Selecione o armazenamento
1. Selecione o armazenamento RegionA01-ISCSI01-MGMT01.
2. Clique em Next.
HOL-1703-SDC-1-PT
Page 333
HOL-1703-SDC-1-PT
Selecione a rede de destino

1. Clique no menu suspenso na coluna Destination Network.
2. Selecione Browse.
HOL-1703-SDC-1-PT
Page 334
HOL-1703-SDC-1-PT
Selecione Bridged-Net-RegionA0-vDS-MGMT
1. Selecione a rede Bridged-Net-RegionA0-vDS-MGMT.
2. Clique em OK.
HOL-1703-SDC-1-PT
Page 335
HOL-1703-SDC-1-PT
Verifique a rede de destino e clique Next

1. Clique em Next.
HOL-1703-SDC-1-PT
Page 336
HOL-1703-SDC-1-PT
Selecione a prioridade do vMotion

1. Selecione Schedule vMotion with high priority (recommended)
2. Clique em Next.
HOL-1703-SDC-1-PT
Page 337
HOL-1703-SDC-1-PT
Clique em Finish
Visualize as VMs conectadas

1. Clique no boto Back para ir para Networking.
Visualize os objetos relacionados ao Port Group "BridgedNet"

1. Selecione o port group Bridged-Net-RegionA0-vDS-MGMT.
HOL-1703-SDC-1-PT
Page 338
HOL-1703-SDC-1-PT
2. Selecione a guia Related Objects.

3. Selecione a visualizao Virtual Machines.
Observao: a VM web-01a.corp.local dever estar listada agora. Caso necessrio
clique no boto "Refresh" para atualizar o status
4.
Clique em web-01a.corp.local.
Abra o console da VM web-01a

1. Clique na guia Summary e verifique se a VM tem um endereo IP 172.16.10.11.
2. Clique em Launch Remote Console.
HOL-1703-SDC-1-PT
Page 339
HOL-1703-SDC-1-PT
Verifique se a VM est isolada

Assim que a janela do console estiver aberta, clique no meio da tela e pressione
"Enter" para que algo aparea nela.
1. Faa login como root com a senha VMware1!
2. Digite ping -c 3 172.16.10.1
(lembre-se de usar a ferramenta SEND TEXT)
ping -c 3 172.16.10.1
Aguarde at o ping atingir o tempo limite: voc acabou de verificar que a VM est
isolada, j que no h outros dispositivos na VLAN 101 e a Bridge L2 ainda no est
configurada.
HOL-1703-SDC-1-PT
Page 340
HOL-1703-SDC-1-PT
Migre o Web_Tier_Logical_Switch para o Roteador Lgico

Distribudo
1. Clique no cone Home.
2. Selecione Network & Security.
Remova Web_Tier do roteador Perimeter Gateway

1. Clique em NSX Edges.
2. Clique duas vezes em edge-3 Perimeter-Gateway-01.
HOL-1703-SDC-1-PT
Page 341
HOL-1703-SDC-1-PT
Remova a interface vNIC da camada Web

1.
2.
3.
4.
5.
Clique na aba Manage.

Clique na aba Settings.
Selecione Interfaces.
Selecione a interface com nome Web_Tier.
Exclua o Logical Switch Web_Tier do ESG.
Clique em OK
Clique em OK.
Volte para o menu "Edges

1. Clique no boto Back de Networking & Security para voltar para o menu
"Edges.
HOL-1703-SDC-1-PT
Page 342
HOL-1703-SDC-1-PT
Selecione o Distributed-Router-01
1. Clique duas vezes em Distributed-Router-01.
Conecte o Logical Switch da camada Web

1.
2.
3.
4.
Clique em Manage.
Clique em Settings.
Selecione Interfaces no menu esquerdo.
Clique no "sinal de mais verde" para adicionar o Logical Switch da camada
Web.
HOL-1703-SDC-1-PT
Page 343
HOL-1703-SDC-1-PT
Conecte o Logical Switch da camada Web

1. Insira Web-Tier no campo Name.
2. Clique em Select ao lado do campo Connected To.
HOL-1703-SDC-1-PT
Page 344
HOL-1703-SDC-1-PT
Selecione o Logical Switch da camada Web

1. Selecione Web_Tier_Logical_Switch.
2. Clique em OK.
HOL-1703-SDC-1-PT
Page 345
HOL-1703-SDC-1-PT
Adicione o Endereo IP Primrio

1. Clique no "sinal de mais verde" para configurar o endereo IP primrio da subrede.
2. Insira "172.16.10.1" em Primary IP Address.
3. Insira "24" em Subnet Prefix Length.
4. Clique em OK.
HOL-1703-SDC-1-PT
Page 346
HOL-1703-SDC-1-PT
Confirmar a adio do Logical Switch ao Roteador Lgico

Distribudo
Confirme se o Logical Switch da camada Web foi implantado com xito.
Configurar a Bridge L2 do NSX

Agora voc poder ativar a Bridge L2 do NSX entre a VLAN 101 e o Logical Switch WebTier-01, para que a VM "web-01a" consiga se comunicar com o restante da rede. Com o
NSX-V 6.2, agora possvel ter uma Bridge L2 e um Roteador Lgico Distribudo
conectado ao mesmo Logical Switch. Isso representa uma melhoria importante, j que
simplifica a integrao do NSX ambientes existentes, bem como a migrao da rede
fsica para a rede virtual.
HOL-1703-SDC-1-PT
Page 347
HOL-1703-SDC-1-PT
Criando uma nova Bridge L2

1. Clique na guia "Bridging".
2. Verifique se no h instncias de Bridge configuradas na lista, ento clique no
cone de "sinal de mais verde" para adicionar uma.
Insira o nome da Bridge

1. Insira Bridge-01 no campo de entrada "Name".
2. Em seguida, clique no cone para selecionar um Logical Switch ao qual nossa
Bridge ser conectada.
HOL-1703-SDC-1-PT
Page 348
HOL-1703-SDC-1-PT
Selecione o Logical Switch

1. Selecione Web_Tier_Logical_Switch.
2. Clique em OK.
Abra a caixa de dilogo de seleo do Port Group

Distribudo
Clique no cone Distributed Port Group para abrir a caixa de dilogo de
seleo.
Selecione o Port Group Distribudo

1. Selecione o Port Group Distribudo Bridged-Net-RegionA0-vDA-MGMT
HOL-1703-SDC-1-PT
Page 349
HOL-1703-SDC-1-PT
2. Clique em OK
Confirme a configurao da Bridge

Verifique a configurao da Bridge L2 na caixa de dilogo e clique em OK.
HOL-1703-SDC-1-PT
Page 350
HOL-1703-SDC-1-PT
Para ativar a Bridge L2, clique no boto Publish Changes e aguarde at a
pgina ser atualizada.
Verifique se o roteamento est ativado

Verifique a configurao publicada. Voc notar a mensagem "Routing Enabled": ela
significa que esta Bridge L2 tambm est conectada a um Roteador Lgico Distribudo,
que uma melhoria do NSX-V 6.2.
Verifique a Bridge L2
A Bridge L2 do NSX foi configurada. Agora voc verificar a conectividade L2 entre a VM
"web-01a" conectada VLAN 101 e as mquinas conectadas ao Logical Switch "WebTier-01"
Verifique a conectividade do Default Gateway

1. Abra a guia do console web-01a na barra de tarefas e tente executar um ping
com default gateway novamente
2. Realize um ping -c 3 172.16.10.1
HOL-1703-SDC-1-PT
Page 351
HOL-1703-SDC-1-PT
ping -c 3 172.16.10.1
Agora, o ping foi bem-sucedido: voc verificou a conectividade entre uma VM conectada
VLAN 101 e ao Roteador Lgico Distribudo que o Default Gateway da rede, por meio
de uma Brisge L2 fornecida pelo NSX!
Observao: talvez voc experimente pings "duplicados" durante este teste (as
respostas aparecem como DUP!): isso se deve natureza do ambiente dos laboratrios
prticos e no acontecer em um cenrio real.
Excluso da Bridge L2 criada no mdulo

Se voc quiser prosseguir para os outros mdulos deste laboratrio prtico, siga as
prximas etapas para desativar a Bridge L2, j que a configurao de exemplo realizada
neste ambiente especfico poderia entrar em conflito com outras sees, como L2VPN.
HOL-1703-SDC-1-PT
Page 352
HOL-1703-SDC-1-PT
Volte ao vSphere Web Client

1. Clique na guia vSphere Web Client no navegador.
Acesse a Menu de configurao do NSX

2. Clique em"Networking & Security"no menu.
HOL-1703-SDC-1-PT
Page 353
HOL-1703-SDC-1-PT
Abra a seo de configurao do Roteador Lgico

1. No menu Navigator esquerda, clique em "NSX Edges" e aguarde at a lista
de NSX Edges ser carregada.
2. Clique duas vezes no edge-6 chamado "Distributed-Router-01" para acessar
sua pgina de configurao.
Exclua a instncia de Bridge

1. Clique na guia "Manage" se ela ainda no tiver sido selecionada.
2. Em seguida, clique na guia "Bridging" se ela ainda no tiver sido selecionada.
Observao: ns devemos ver somente a instncia "Bridge-01" criada anteriormente,
que destacada por padro.
3.
Clique no cone Delete para destru-la.
HOL-1703-SDC-1-PT
Page 354
HOL-1703-SDC-1-PT
1. Clique no boto "Publish Changes" para confirmar a configurao.
Verifique a excluso da Bridge

Verifique se a instncia da Bridge foi excluda.
HOL-1703-SDC-1-PT
Page 355
HOL-1703-SDC-1-PT
Migre a VM web-01a de volta ao cluster

RegionA01-COMP01
2. Selecione VMs and Templates.
HOL-1703-SDC-1-PT
Page 356
HOL-1703-SDC-1-PT
Migre web-01a
1.
2.
3.
4.

Clique com o boto direito do mouse em web-01a.corp.local.
Clique em Migrate.
HOL-1703-SDC-1-PT
Page 357
HOL-1703-SDC-1-PT
Selecione o tipo de migrao

1. Selecione Change both compute resources and storage.
2. Selecione a opo Select compute resource first.
3. Clique em Next.
HOL-1703-SDC-1-PT
Page 358
HOL-1703-SDC-1-PT
Selecione o recurso de processamento

1.
2.
3.
4.
5.

Expanda o cluster RegionA01-COMP01.
Selecione esx-01a.corp.local.
Clique em Next.
HOL-1703-SDC-1-PT
Page 359
HOL-1703-SDC-1-PT
Selecionar o armazenamento
1. Selecione o armazenamento RegionA01-ISCSI01-COMP01.
2. Clique em Next.
HOL-1703-SDC-1-PT
Page 360
HOL-1703-SDC-1-PT
Selecionar a rede de destino

1. Clique no menu suspenso em Destination Network.
2. Selecione vxm-dvs-43-virtualwire-1-sid-5000-Web_Tier_Logical_Switch.
HOL-1703-SDC-1-PT
Page 361
HOL-1703-SDC-1-PT
Selecione a prioridade do vMotion

1. Selecione Schedule vMotion with high priority (recommended)
2. Clique em Next.
HOL-1703-SDC-1-PT
Page 362
HOL-1703-SDC-1-PT
Clique em Finish
Clique em Finish.
Concluso
Parabns, voc concluiu o mdulo Bridge Fsco-Virtual do NSX! Neste mdulo,
configuramos e testamos a Bridge entre uma VLAN de um Port Group e uma VxLAN de
um Logical Switch do NSX.
HOL-1703-SDC-1-PT
Page 363
HOL-1703-SDC-1-PT
Introduo ao HW VTEP com Arista

As sees do mdulo a seguir relacionadas a Hardware VTEP so informativas. Se voc
quiser pular diretamente para o trabalho de laboratrio, avance para o Mdulo 6 Firewall Distribudo.
Em vrios data centers, algumas cargas de trabalho no foram virtualizadas ou no
podem ser virtualizadas. Para integr-las arquitetura do SDDC, o NSX oferece a
capacidade de estender a rede virtual para a fsica por meio de Gateways de Camada 2
ou de Camada 3. Esta seo se concentrar no recurso de Gateway de Camada 2, como
ele pode ser utilizado nativamente em um host que executa o NSX, ou tambm por
meio de um dispositivo de hardware de terceiros, como o switch de rede da Arista que
ainda pode ser controlado pelo NSX. Como uma plataforma, o NSX oferece aos parceiros
a capacidade de integrar e criar solues e baseado nas funcionalidades existentes. O
NSX tambm permite que haja uma infraestrutura base gil para ambientes de nuvem
pblica e privada.
O NSX como uma plataforma opera de forma eficiente, usando uma camada de
"hypervisor de rede" distribuda entre todos os hosts. No entanto, em alguns casos,
determinados hosts na rede no so virtualizados e no podem implementar
nativamente os componentes do NSX. O NSX oferece a capacidade de criar uma Bridge
ou de rotear para redes no virtualizadas externas. Novamente, ao nos concentramos
na soluo de Brigde, ns mostraremos como um Gateway de Camada 2 estende uma
rede lgica L2 para uma rede fsica L2.
HOL-1703-SDC-1-PT
Page 364
HOL-1703-SDC-1-PT
Informaes de direitos autorais do guia de design da

Arista e crdito da demonstrao off-line
Esta seo do mdulo do laboratrio foi usada, e o material modificado do Guia de
design da Arista para o NSXfor vSphere com Arista CloudVision, Verso 1.0,
agosto de 2015.
Ns tambm gostaramos de agradecer Francois Tallet, gerente de produtos
tcnicos snior da unidade de negcios de rede e segurana da VMware nos
EUA, por nos conduzir por este laboratrio para fornecer a demonstrao off-line da
prxima seo do mdulo.
HOL-1703-SDC-1-PT
Page 365
HOL-1703-SDC-1-PT
Reviso do caso de uso

O NSX opera de forma eficiente, usando uma camada de "hypervisor de rede"
distribuda entre todos os hosts. No entanto, em alguns casos, determinados hosts na
rede no so virtualizados e no podem implementar nativamente os componentes do
NSX. O NSX oferece a capacidade de criar uma Bridge ou de Rotear para redes no
virtualizadas externas. Este mdulo se concentra mais especificamente na soluo de
Bridge, onde um Gateway de Camada 2 estende uma rede lgica de Camada 2 para
uma rede fsica de Camada 2.
A funcionalidade principal de um gateway de Camada 2 :
Mapear um Logical Switch do NSX para uma VLAN. A configurao e o gerenciamento
do gateway de Camada 2 so incorporados ao NSX.
O trfego recebido no Logical Switch do NSX por meio de um tnel desencapsulado e
encaminhado para a porta/VLAN apropriada na rede fsica. Da mesma forma, o trfego
da VLAN na outra direo encapsulado e encaminhado de forma apropriada no Logical
Switch do NSX.
O NSX inclui de forma nativa uma verso em software da funcionalidade de Gateway da
Camada 2 com um plano de dados inteiramente implementado no kernel do Hypervisor,
para desempenho mximo. Alm dessa funcionalidade, o NSX como uma plataforma
permite ainda a integrao de componentes de terceiros para obter a funcionalidade do
gateway de camada 2 em hardware.
HOL-1703-SDC-1-PT
Page 366
HOL-1703-SDC-1-PT
Viso geral dos componentes

Vrios componentes esto envolvidos na conexo do gateway de hardware ao NSX. Eles
so representados na figura acima.
O NSX controller responsvel por lidar com a interao com o gateway em hardware.
Para essa finalidade, uma conexo estabelecida entre o NSX controller e um software
dedicado chamado de Hardware Switch Controller (HSC). O HSC pode ser
incorporado no gateway em hardware ou pode ser executado como um appliance
autnomo separado. O HSC pode controlar um ou vrios gateways de hardware. A Arista,
por exemplo, aproveita a plataforma CloudVision como um HSC, que age como um
nico ponto de integrao para o NSX para vrios gateways em hardware Arista. O HSC
executa um servidor OVSDB (Open vSwitch Database), e o NSX conectado como
um cliente OVSDB. O OVSDB o protocolo Open vSwitch Database Management
detalhado na RFC 7047. um projeto de cdigo aberto que oferece a capacidade de
gerenciamento remoto de um banco de dados.
O NSX controller enviar a associao configurada pelo administrador entre o Lgical
Switch e o switch/porta/VLAN fsico para o gateway em hardware por meio do HSC. O
NSX Controller tambm publicar uma lista de Replication Service Nodes (RSNs) que o
gateway em hardware aproveitar para encaminhar trfego de "broadcast", "unknown
unicast" ou de "multicast" (BUM). O NSX Controller publicar no HSC a lista de VTEPs do
Hypervisor relevantes aos Logical Switches configurados no gateway em hardware. O
NSX Controller tambm publicar no HSC a associao entre o endereo MAC das VMs
na rede virtual e o VTEP por meio do qual elas podero ser acessadas.
Observao: pode haver vrios NSX controllers em uma implantao do NSX,
fornecendo redundncia e dimensionamento horizontal. As tarefas mencionadas como
executadas pelo NSX Controller so, na verdade, compartilhadas entre todos os NSX
Controllers na rede. O HSC se conectar a todos os controllers.
HOL-1703-SDC-1-PT
Page 367
HOL-1703-SDC-1-PT
HOL-1703-SDC-1-PT
Page 368
HOL-1703-SDC-1-PT
Integrao do NSX com o Arista CloudVision e o gateway

em hardware
A plataforma Arista CloudVision oferece visibilidade de toda a rede e um nico ponto de
integrao ao NSX.
A fundao do CloudVision um servio de infraestrutura, compartilhando e agregando
o estado de trabalho de switches fsicos que estejam executando o Arista EOS para
fornecer visibilidade de rede e uma coordenao central. O estado de cada n EOS fsico
participante registrado no CloudVision usando a mesma arquitetura de publicao/
assinatura do banco de dados do sistema do EOS (SysDB). Como um exemplo, o VCS
(VXLAN Control Service) do CloudVision agrega o estado da VXLAN de toda a rede para
integrao e orquestrao com o VMware NSX. O CloudVision tambm fornece gateways
L2 em hardware redundante para NSX como MLAG com funcionalidade de VXLAN. MLAG
com VXLAN em switches Arista oferece encaminhamento ativo-ativo sem bloqueio e
redundncia com failover sem ocorrncia em caso de falha de switch. Alm disso, o
Arista CloudVision e os switches Top of Rack executam o VCS internamente, que cada
VTEP de hardware usa para compartilhar o estado uns com os outros para
estabelecerem tneis de VXLAN sem a necessidade de uma camada de controle
multicast.
Ponto de integrao operacional

Na operao, o Arista CloudVision se registrar no NSX controller e usar o protocolo
OVSDB para sincronizar as informaes de topologia, MAC para endpoints de VXLAN e
associaes de ID de VXLAN com o NSX. O CloudVision programar apropriadamente o
switch Arista ou pares de switches MLAG (Multi-Chassis Link Aggregation) como o
gateway de hardware do NSX. Essa integrao de gateway de hardware permite uma
sincronizao quase que instantnea do estado entre endpoints de tnel de VXLAN
virtuais e fsicos durante qualquer alterao de rede ou evento de modificao de carga
de trabalho.
HOL-1703-SDC-1-PT
Page 369
HOL-1703-SDC-1-PT
O NSX Manager da VMware tem como front-end a plataforma de virtualizao de rede

inteira do NSX. Os usurios tambm podem gerenciar e operar cargas de trabalho que
se estendem por sistemas virtuais e no virtualizados do NSX como um painel nico.
A plataforma CloudVision da Arista oferece um conjunto de servios que simplifica o
gerenciamento do monitoramento e a integrao do NSX com switches Arista no data
center virtualizado. Os usurios podem aprovisionar VTEPs Arista como ns de gateway
por meio da interface do usurio do NSX Manager. Isso acelera a entrega de servio e
ajuda as empresas a atender melhor s necessidades de uma forma programtica e
automatizada nos data centers.
A implantao da plataforma CloudVision da Arista exige duas etapas:
1. Ativar o VXLAN Control Service (VCS) em switches ToR Arista e no CloudVision.
2. Ativar o servio Hardware Switch Controller (HSC) no CloudVision.
HOL-1703-SDC-1-PT
Page 370
HOL-1703-SDC-1-PT
Simulao interativa do laboratrio

prtico: VTEP de hardware com o
Arista
Esta parte do laboratrio apresentada como um laboratrio prtico - simulao
interativa. Essa simulao permitir que voc navegue pela interface do software como
se estivesse interagindo com um ambiente dinmico.
1. Clique aqui para abrir a simulao interativa. Ela ser aberta em uma nova janela
ou guia do navegador.
2. Quando terminar, clique no link "Return to the lab" no canto superior direito da
janela do navegador da Web ou feche a janela para continuar nessa guia.
HOL-1703-SDC-1-PT
Page 371
HOL-1703-SDC-1-PT
Consideraes de design de Bridge

H algumas diferenas significativas entre os gateways em hardware e em software:
Um Switch Lgico s pode ter uma instncia de ponte ativa por vez (gateway em
software).
Por outro lado, pode haver vrios gateways em hardware estendendo o mesmo
switch lgico.
Isso afeta a redundncia e o escopo da Camada 2 na rede. Esta seo do mdulo
consiste em consideraes de design durante a implementao de uma arquitetura de
gateway de hardware com as consideraes mencionadas anteriormente. As prticas
recomendadas sero mencionadas, mas aconselhvel que os usurios que estejam
planejando a implementao de gateways em hardware com o NSX consultem um
profissional da VMware para obter consideraes especficas de seu prprio ambiente.
Informaes de direitos autorais do guia de design da

Arista
Esta seo do mdulo do laboratrio foi obtida, e seu material modificado, do Guia de
design da Arista para o NSXfor vSphere com Arista CloudVision, Verso 1.0,
agosto de 2015.
Alta disponibilidade com MLAG

A Arista d suporte a MLAG por meio do processamento e de VXLAN juntos em sua
ampla variedade de switches, o que oferece redundncia de gateway L2 em hardware
para o NSX. MLAG com VXLAN em switches Arista oferece encaminhamento ativo-ativo
sem bloqueio e redundncia com failover sem ocorrncia em caso de falha de switch. O
Arista CloudVision abstrai os detalhes de Multi-Chassis LAG (MLAG) e apresenta um par
de switches MLAG como um nico VTEP.
O fato de que vrios gateways de hardware podem estar ativos ao mesmo tempo
tambm pode influenciar o design da rede. Normalmente, um switch lgico estendido
para uma VLAN para fornecer conectividade para algum servio que no possa ser
HOL-1703-SDC-1-PT
Page 372
HOL-1703-SDC-1-PT
virtualizado. Normalmente, esse servio redundante, o que significa que sua

implementao fsica s estende por vrios racks diferentes no data center.
HOL-1703-SDC-1-PT
Page 373
HOL-1703-SDC-1-PT
Impacto no escopo de Camada 2 na rede

Se voc examinar o lado esquerdo da figura acima, algumas mquinas virtuais esto
anexadas a um Logical Switch e acessam servidores fsicos por meio de um Gateway
em software (Edge Services Gateway). Todo o trfego do switch lgico para a VLAN 10,
onde os servidores fsicos esto localizados, precisa passar por uma nica instncia de
ponte. Isso significa que a VLAN 10 precisa ser estendida entre os racks para acessar
todos os servidores fsicos necessrios.
A tendncia nas redes de data center nos ltimos anos tem sido tentar reduzir o
mximo possvel a extenso da conectividade de Camada 2 para minimizar seus riscos
e limitaes associadas. A figura no lado direito da imagem acima mostra como isso
pode obtido aproveitando um gateway em hardware ativo separado. Nesse design
alternativo, cada rack que hospeda servidores fsicos configurado com um gateway de
hardware. Graas a esse modelo, no h necessidade de estender a conectividade de
Camada 2 entre os racks, j que os switches lgicos podem se estender diretamente at
o gateway de hardware relevante ao acessarem os servidores fsicos.
Observao: as VLANs definidas nos racks tm significado local (o exemplo est
mostrando que o switch lgico estendido para a VLAN 10 em um rack e para a VLAN
20 no outro).
Componentes do NSX e conectividade de cluster

As funes e a operao de componente do NSX so definidas no Guia de design de
virtualizao de rede do VMware NSX for vSphere verso 3.0 (disponvel em
https://communities.vmware.com/docs/DOC-27683). altamente recomendvel que o
leitor consulte esse documento para seguir a lgica relacionada conectividade com a
rede fsica. As funes e a organizao dos componentes do NSX so mapeadas para o
cluster apropriado. O Guia de design de virtualizao de rede do VMware NSX for
vSphere solicita a organizao dos componentes, do processamento e do
gerenciamento do ambiente virtualizado do NSX.
O Guia de design de virtualizao de rede do VMware NSX for vSphere recomenda a
criao de trs tipos de clusters diferentes do vSphere. A figura acima mostra um
HOL-1703-SDC-1-PT
Page 374
HOL-1703-SDC-1-PT
exemplo de componentes lgicos de design de cluster para o posicionamento do rack

fsico.
Observao: as configuraes ainda menores em um nico rack podem ser usadas
para oferecer conectividade para o cluster de permetro e o de gerenciamento. O
conceito fundamental que a configurao do cluster de permetro seja localizada em
um par de switches ToR para reduzir a extenso dos requisitos de camada 2; isso
tambm ajuda a localizar a configurao de roteamento de sada para um par de
switches ToR. A localizao de componentes de permetro tambm permite a
flexibilidade na seleo do hardware apropriado (CPU, memria e NIC) e recursos
baseados nas funcionalidades centradas na rede, como firewall, NetFlow, NAT e
roteamento ECMP.
Switches Arista e roteamento do NSX

O NSX Edge Services Gateway oferece roteamento baseado em ECMP (Equal Cost Multipath), que permite at oito VMs apresentem encaminhamento de trfego bidirecional de
8 vias do domnio lgico do NSX para o core do DC da empresa ou para a Internet. Isso
representa at 80 Gbps (8x10 interfaces GE) de trfego que podem ser oferecidos do
domnio virtual do NSX para a rede externa em ambas as direes. dimensionvel por
"Tenant" e, portanto, a quantidade de largura de banda elstica, j que cargas de
trabalho sob demanda e/ou "multi-tenant" se expandem ou se contraem. Os requisitos
de configurao para dar suporte ao Edge Gateway ECMP NSX para o roteamento NorteSul so os seguintes:
Poltica de agrupamento de uplink VDS e sua interao com a configurao de
ToR.
Exige duas VLANs externas por par de ToR.
Pareamento de rotas com switches Arista.
HOL-1703-SDC-1-PT
Page 375
HOL-1703-SDC-1-PT
Design de uplink VDS com host ESXi no cluster Edge

O rack de permetro tem vrios requisitos de conectividade de trfego. Primeiro, ele
oferece conectividade para trfego leste-oeste para o domnio da VXLAN via VTEP;
depois, oferece uma funo centralizada para usurio/trfego externo que acessam
cargas de trabalho no domnio do NSX via Port Groups suportados por VLANs dedicadas.
Essa ltima conectividade obtida por meio do estabelecimento de adjacncias de
roteamento com os dispositivos L3 no prximo "hop". A figura acima representa dois
tipos de conectividade de uplink do host que utilizam comunicao ECMP atravs da
Edge VM de permetro.
Vizinhana ECMP do Edge e VLAN design

Assim que o modo de "Teaming" e "Failover" dos uplinks for determinado, a prxima
etapa ser fornecer diretrizes de design para a configurao da VLAN e o mapeamento
para o uplink, bem como as configuraes de vizinhana com os switches Arista. A
primeira deciso quantos uplinks lgicos devero ser implantados em cada NSX Edge.
A opo de design recomendada sempre mapear o nmero de uplinks lgicos para o
nmero de dvUplinks do VDS definidos nos NSX Edges disponveis hospedados nos
servidores ESXi. Isso significa sempre mapear uma VLAN (port group) para um dvUplink
do VDS, que ento sero mapeados para um link fsico no host ESXi que se conecta ao
switch Arista por meio de um ESG que forma a vizinhana de roteamento com o switch
Arista.
No exemplo mostrado acima, as VMs ECMP do NSX Edge (E1 a E8) so implantadas em
hosts ESXi com dois uplinks fsicos conectados aos switches ToR Arista. Dessa forma, a
recomendao implantar dois uplinks lgicos em cada NSX edge. Como um uplink
lgico do NSX edge est conectado a um port grupo suportado por VLAN, necessrio
usar dois segmentos de VLAN externos para conectar aos roteadores fsicos e
estabelecer adjacncias de protocolo de roteamento. Como mostrado na figura acima,
cada n ECMP pareado com suas respectivas VLANs externas para exatamente um
roteador Arista. Cada VLAN externa definida somente em um uplink ESXi (na figura
acima, a VLAN 10 externa ativada no uplink em direo a R1, quanto a VLAN 20
HOL-1703-SDC-1-PT
Page 376
HOL-1703-SDC-1-PT
externa no uplink para R2). Isso feita de forma que, sob circunstncias normais,
ambos os uplinks ESXi possam ser utilizados de forma concomitante para enviar e
receber trfego norte-sul, mesmo sem exigir a criao de um canal de porta entre o
host ESXi e os dispositivos ToR.
Alm disso, com esse modelo, uma falha fsica de uma NIC ESXi corresponderia a uma
falha de uplink lgico para o NSX edge em execuo no host, e o Edge continuaria a
enviar e a receber trfego ao aproveitar o segundo uplink lgico (a segunda interface
NIC ESXi fsica).
Recomendaes de temporizador de protocolo de

roteamento do NSX Edge
O roteador lgico NSX edge permite o roteamento dinmico e o esttico. A
recomendao usar um protocolo de roteamento dinmico para parear com switches
Arista para reduzir a sobrecarga da definio de rotas estticas sempre que a rede
lgica for definida. Os roteadores lgicos NSX edge do suporte aos protocolos de
roteamento OSPF e BGP. A configurao do modo ECMP do NSX edge d suporte
reduo do temporizador "hello and hold" do protocolo de roteamento para melhorar a
recuperao de falhas de trfego no caso de falha de n ou de link. O temporizador
mnimo recomendado para OSPF e BGP mostrado na tabela acima.
HOL-1703-SDC-1-PT
Page 377
HOL-1703-SDC-1-PT
Benefcios da arquitetura do NSX com a infraestrutura da

Arista
O NSX permite que os usurios criem servios lgicos para rede e segurana sem
precisar fazer alteraes de configurao na infraestrutura fsica. Nesse caso, assim que
os switches Arista estiverem configurados para fornecer conectividade IP e a
configurao de roteamento for aprovisionada, poderemos continuar a implantar novos
servios com o NSX.
Conectividade de camada lgica

As opes de conectividade de camada lgica para servidores na infraestrutura fsica
permite que eles estejam em sub-redes diferentes, mais uma rede base permite que as
VMs fiquem na mesma sub-rede e na camada 2 adjacente, fornecendo essencialmente
conectividade independente de topologia e mobilidade alm da limitao da topologia
estruturada imposta pela rede fsica.
HOL-1703-SDC-1-PT
Page 378
HOL-1703-SDC-1-PT
Roteamento para infraestrutura fsica

Para roteador da rede lgica para a rede fsica, o NSX pode aprender e trocar rotas com
a infraestrutura fsica para acessar recursos como um servidor de banco de dados ou
um aplicativo no virtualizado, que poderia estar em uma sub-rede diferente em uma
rede fsica.
O NSX oferece uma arquitetura de roteamento de dimensionamento horizontal com o
uso de ECMP entre o roteador distribudo NSX e as instncias de roteamento do NSX
Edge como mostrado na figura acima. Os NSX Edges podem parear usando protocolos
de roteamento dinmico (OSPF ou BGP) com os roteadores fsicos e fornecer largura de
banda dimensionvel. No caso de uma infraestrutura de switch Arista, o par de
roteamento poderia ser qualquer ToR Arista.
Operao e dimensionamento simplificados

A soluo CloudVision da Arista simplifica a integrao de ambientes fsicos e virtuais. O
CloudVision aproveita um banco de dados de rede, que coleta o 'estado' da rede fsica
inteira e apresenta uma nica interface aberta para o VMware NSX integrar rede
fsica. Usar o CloudVision como o ponto de integrao permite que os detalhes da rede
fsica sejam abstrados dos orquestradores de nuvem e dos controllers base. Alm disso,
o CloudVision simplifica o esforo de integrao do NSX porque o NSX s precisa se
integrar ao prprio CloudVision. Isso permite que os clientes evitem a complicao de
certificar o NSX com as diversas combinaes de verses de hardware e de software.
Por sua vez, o CloudVision fornece o estado agregado da rede fsica para a
HOL-1703-SDC-1-PT
Page 379
HOL-1703-SDC-1-PT
sincronizao fsica para virtual mais efetiva. Isso oferece uma abordagem mais simples
e mais dimensionvel para a integrao do controller rede fsica.
Observao: o CloudVision foi criado sobre APIs abertas, incluindo OVSDB e JSON, o
que oferece uma abordagem baseada em padres para essa integrao.
Visibilidade de rede lgica e fsica com o Arista VM Tracer

O recurso VM Tracer da Arista para NSX nativamente integrado ao Arista EOS. Ele
automatiza a descoberta de infraestrutura virtual diretamente conectada, simplificando
o aprovisionamento dinmico de VLANs relacionadas e perfis de porta na rede. Os
switches Arista utilizam as APIs do VMware vCenter e do NSX Manager para coletar
informaes de aprovisionamento. O VM Tracer ento combina essas informaes aos
dados do banco de dados do switch para fornecer um mapeamento claro e conciso da
rede virtual para fsica. Os clientes podem obter um rastreamento em tempo real de
switches lgicos e VMs de uma nica CLI em qualquer switch Arista na rede.
Segurana com firewall distribudo

Por padro, o NSX permite o firewall distribudo em cada VM no nvel da vNIC. O firewall
sempre est no caminho do trfego entrando e saindo da VM. O principal benefcio
HOL-1703-SDC-1-PT
Page 380
HOL-1703-SDC-1-PT
que ele pode reduzir a exposio de segurana na raiz para o trfego leste-oeste e no
no local centralizado. Os benefcios adicionais do firewall distribudo incluem:
Eliminao do nmero de saltos (ajuda a reduzir o consumo de largura de banda
de e para o ToR) para aplicativos que atravessa para um firewall centralizado.
Conjuntos de regras flexveis (os conjuntos de regras podem ser aplicados
dinamicamente, usando vrios objetos disponveis no vSphere, como SW lgico,
cluster e DC).
Permitir que os estados da poltica e da conexo sejam movidos com o VM
vMotion.
Desenvolvimento de um fluxo de trabalho automatizado com aplicao de
poltica de segurana programtica no momento da implantao da VM via
plataforma de gerenciamento de nuvem, com base nos critrios de exposio
como camadas de nveis de segurana por cliente ou por zona de aplicativo.
Dimensionamento flexvel de aplicativos com o

balanceador de carga virtualizado
O dimensionamento elstico da carga de trabalho de aplicativo um dos requisitos
crticos no data center de hoje. O dimensionamento de aplicativos com um balanceador
de carga fsico pode no ser suficiente, dada a natureza dinmica das cargas de
trabalho de TI de autoatendimento e do estilo DevOps. A funcionalidade de
balanceamento de carga com suporte nativo no gateway de servios do NSX Edge
aborda a maioria dos requisitos prticos encontrados em implantaes. Ela pode ser
implantada programaticamente com base em requisitos de aplicativo dimensionamento
e recursos apropriados. O nvel de suporte a escala e ao aplicativo determina se o
balanceador de carga poder ser configurado com servios de camada 4 ou de camada
7. O balanceador de carga ciente da topologia pode ser implantado em modo em linha
ou brao nico. O modo selecionado com base em requisitos especficos do aplicativo,
mas o design brao nico oferece extensa flexibilidade, j que pode ser implantado
prximo ao segmento do aplicativo e pode ser automatizado com a implantao do
aplicativo.
A figura acima mostra o poder de um balanceador de carga baseado em software no
qual vrias instncias do balanceador de carga servem vrios aplicativos ou segmentos.
Cada instncia do balanceador de carga um appliance de permetro que pode ser
dinamicamente definido via uma API como necessrio e implantado em um modo de
alta disponibilidade. Como alternativa, o balanceador de carga pode ser implantado em
um modo em linha, que pode ser o domnio lgico inteiro. O balanceador de carga em
linha pode dimensionar por meio da ativao de permetro de vrias camadas por
HOL-1703-SDC-1-PT
Page 381
HOL-1703-SDC-1-PT
aplicativo, j que cada aplicativo e um domnio dedicado para o qual o permetro de

primeira camada um gateway para um aplicativo, o permetro de segunda camada
pode ser um gateway ECMP para fornecer a largura de banda norte-sul dimensionvel.
Concluso
A soluo de Virtualizao de Redesda VMware enderea os desafios atuais da
infraestrutura computacional e da rede fsica, trazendo flexibilidade, agilidade e
escalabilidade por meio de redes lgicas baseadas em VxLAN. Juntamente com a
capacidade de criao de redes lgicas sob demandas usando VxLAN, o NSX Edge
Gateway ajuda os usurios a implantar diversos servios de redes como firewall, DHCP e
NAT. Isso possvel devido sua capacidade de dissociar a rede virtual da rede fsica e
ento reproduzir as propriedades e os servios necessrios no ambiente virtual.
Concluindo, a Arista e a VMware esto entregando a primeira e melhor soluo
dimensionvel do setor para Virtualizao de Redes no Data Center Definido por
Software. Os provedores de nuvem, as empresas e os clientes da Web podero acelerar
drasticamente seus servios de negcios, reduzir a complexidade operacional e os
custos. Tudo isso est disponvel agora, em uma soluo SDDC totalmente
automatizada e programtica que cria a ponte entre a infraestrutura virtual e fsica.
HOL-1703-SDC-1-PT
Page 382
HOL-1703-SDC-1-PT
Concluso do Mdulo 5
Neste mdulo, mostramos a capacidade do NSX de criar uma Bridge entre redes VLAN e
redes lgicas VXLAN. Ns realizamos a configurao de uma Bridge no Roteador Lgico
Distribudo do NSX para mapear uma VLAN para uma VXLAN. Tambm realizamos uma
migrao de uma VM de um Logical Switch para um dvPortGroup configurado com uma
VLAN para simular a comunicao entre as VMs. Por fim, clicamos na demonstrao offline da integrao do NSX com um VTEP em hardware Arista para mostrar a extenso de
um gateway L2 um switch.

preparao de hosts.
de carga.
camadas.
HOL-1703-SDC-1-PT
Page 383
HOL-1703-SDC-1-PT
Mdulo
Unido
Mdulo
Mdulo
Mdulo
Mdulo
Mdulo

2
3
4
5
6


HOL-1703-SDC-1-PT
Page 384
HOL-1703-SDC-1-PT
Mdulo 6 - Firewall
distribudo (45 minutos)
HOL-1703-SDC-1-PT
Page 385
HOL-1703-SDC-1-PT
Introduo ao Direwall Distribudo DFW

Firewall Distribudo do NSX (DFW - Distributed Firewall). Um dos componentes
do NSX o mdulo de firewall distribudo que opera diretamente no kernel do ESXi. O
DFW instalado em todos os hosts de um mesmo cluster vSphere que precisam dessa
funcionalidade ativa. O DFW opera com performance prxima velocidade wire-speed e
possui toda a resilincia da plataforma vSphere. O DFW tambm permite a criao de
regras de acordo com o reconhecimento da identidade do usurio (Identify Firewall)
alm de oferecer ferramentas exclusivas para monitoramento e auditoria das atividades
em uma determinada VM (Activity Monitoring).
Neste mdulo, voc vai explorar como o DFW ajuda a proteger um Aplicativo de 3
camadas. As tradicionais regras de firewall baseadas em endereo IP impem limites
rgidos sobre a mobilidade das VMs e reduzem a flexibilidade da utilizao dos pools de
recursos (Resource Pools). Ao invez das tradicionais regras de firewall baseadas em
endereos IP, aqui ser demonstrado o processo de criao dessas mesmas regras
agora baseadas em Grupos de Segurana (Security Groups - SG) e em identidades
(Identity Firewall). Este mdulo basea-se em quatro guest VMs que compem um
Aplicativo de 3 camadas comum. A camada de Apresentao (Web) possui dois
servidores Web (web-01a and web-02a). A camada de Apresentao se comunica
com uma VM chamada app-01a, que executa um software correspondente a sua
camada de Aplicao. A VM da camada de Aplicao, por sua vez, se comunica com
uma VM chamada db-01a, que est executando o MySQL na camada de Banco de
Dados. A aplicao da regras de segurana para a filtragem de acesso entre as
camadas realizada pelo DFW do NSX.
Abaixo esto descritas brevemente as atividades referentes a esse mdulo:
Firewall Distribudo - DFW
Verifique o status do firewall distribudo nos hosts vSphere.
Verifique se possvel estabelecer a comunicao com todas as VMs do
Aplicativo de 3 camadas.
Bloqueie o acesso ao Aplicativo de 3 camadas e verifique.
Crie um Grupo de Segurana para a camada de Apresentao (Web).
Crie regras de firewall para permitir o acesso seguro ao Aplicativo.
Inicie o mdulo do seu desktop. O desktop o jumpbox do seu Control Center no
ambiente virtual. Desse desktop, voc acessar o vCenter Server Appliance
implantado em seu data center virtual.
Observao especial: na rea de trabalho, voc encontrar um arquivo
chamado README.txt. Ele contm os comandos da CLI necessrios nos
exerccios do laboratrio. Se voc no conseguir digit-los, poder copi-los e
HOL-1703-SDC-1-PT
Page 386
HOL-1703-SDC-1-PT
col-los nas sesses do putty. Caso voc veja um nmero com "chaves - {1}"
isso dir a voc para procurar o comando da CLI para este mdulo no arquivo
de texto.
HOL-1703-SDC-1-PT
Page 387
HOL-1703-SDC-1-PT
Confirme a ativao do DFW

Use o vCenter Web Client para confirmar se o DFW est instalado e ativado.
Inicie o navegador Google Chrome

1. Clique no cone do navegador Chrome na barra de tarefas ou na rea de
trabalho do console principal.
Realize o login do vSphere Web Client

Se voc ainda no tiver feito login no vSphere Web Client.
1. Faa login marcando a caixa "Use Windows Session Authentication".
2. Ou alternativamente utilize o User name: administrator@vsphere.local e o
Password: VMware1!
HOL-1703-SDC-1-PT
Page 388
HOL-1703-SDC-1-PT
Obtenha espao na tela ao recolher os Paineis de Tarefas

do lado direito
Clique nos Push-Pins para que os painis de tarefa sejam recolhidos e forneam
mais espao de visualizao para o painel principal. Voc tambm pode recolher
o painel esquerdo da mesma forma para obter ainda mais espao de
visualizao.
HOL-1703-SDC-1-PT
Page 389
HOL-1703-SDC-1-PT
Explorando o Novo Firewall Distribudo do NSX

Verifique a Instalao
1. Primeiro, clique em Installation.
2. Clique na guia Host Preparation. A tabela mostrar os clusters no data center
virtual.
Voc ver se o mdulo de firewall est ativo para cada cluster.
O NSX est instalado a nvel de Cluster, o que significa que a instalao, a
remoo e as atualizaes so uma definio sempre por Cluster vSphere. Se um
novo host fsico for adicionado posteriormente a um Cluster vSphere com NSX,
esse novo host receber de forma automtica o NSX. Esse comportamento
oferece os servios de rede e segurana de forma uniforme por host evitando
problemas ou as preocupaes de mover uma VM para um host sem NSX.
HOL-1703-SDC-1-PT
Page 390
HOL-1703-SDC-1-PT
Configure regras para o acesso ao

Aplicativo Web
Agora voc vai configurar o Firewall Distribudo para proteger o acesso ao aplicativo de
3 camadas (Customer DB-app). O aplicativo tem dois servidores Web, um servidor de
aplicao e outro de banco de dados. Tambm h um balanceador de carga atendendo
os dois servidores Web.
Testar a conectividade entre as VMs do Customer DB-app

usando o PuTTY
Em seguida, voc testar a comunicao e o acesso entre os segmentos de rede e as
guests VMs que compem o Aplicativo de 3 camadas. Seu primeiro teste ser abrir uma
console para web-01a.corp.local e realizar um ping nos outros membros.
1. Clique no atalho do PuTTY na barra de tarefas do desktop
HOL-1703-SDC-1-PT
Page 391
HOL-1703-SDC-1-PT
Abrir uma sesso SSH para web-01a

1. Localize e clique em web-01a.corp.local na lista Saved Sessions
2. Clique em Open para conectar a sesso SSH web-01a.
Realize o ping da web-01a para outros membros do

Aplicativo de 3 camadas
1. Primeiro, voc vai se assegurar que a web-01a pode realizar um ping para a
web-02a:
ping -c 2 172.16.10.12
2. Agora ping app-01a.

3. Teste o ping em db-01a.
ping -c 2 172.16.20.11
ping -c 2 172.16.30.11
HOL-1703-SDC-1-PT
Page 392
HOL-1703-SDC-1-PT
(Observao: Talvez voc veja DUP! no final de uma linha de ping. Isso se deve
natureza do ambiente do laboratrio virtual usando uma arquitetura Nested e o modo
promscuo nos roteadores virtuais. Voc no ver isso nos ambientes em produo.
No feche a janela, basta minimiz-la para uso posterior.
Demonstre o Customer DB-App usando um navegador web

Usando um navegador, voc acessar o aplicativo de 3 camadas para demonstrar a
funo entre as 3 partes.
2. Clique no favorito "Customer DB-app"
HOL-1703-SDC-1-PT
Page 393
HOL-1703-SDC-1-PT
Demonstre o Customer DB-App usando um navegador web

(cont.)
Voc deve receber a resposta dos dados requisitados pela camada Web para a VM
app-01a e, por fim, consultados na VM db-01a.
A. Observe a conexo HTTPS camada Web.
B. Observe a conexo TCP na porta 8443 para a camada de Aplicao.
C. Observe a conexo TCP na porta 3306 para a camada de Banco de Dados.
Observe que o servidor Web real que responde pode ser diferente do mostrado.
HOL-1703-SDC-1-PT
Page 394
HOL-1703-SDC-1-PT
Altere a poltica de firewall padro de Allow para Block

Nesta seo, voc mudar a regra padro Allow para Block e mostrar a interrupo na
comunicao com o Aplicativo Customer DB App de 3 camadas. Depois disso, voc
criar novas regras de acesso para restabelecer a comunicao em um mtodo seguro.
1. Clique novamente na guia do vSphere Web Client.
2. Selecione Firewall esquerda.
Voc verna seo General o Default Section Layer3.
HOL-1703-SDC-1-PT
Page 395
HOL-1703-SDC-1-PT
Examine as regras padro

1. Expanda a seo usando o "twistie".
Observe se as regras tm marcas verdes de verificao. Isso significa que uma regra
est ativada. As regras so incorporadas da maneira tpica com os campos de origem,
de destino e de servio. Os servios so uma combinao de protocolos e de portas.
A ltima Default Rule uma permisso bsica de todos para todos ("any-to-anyallow").
HOL-1703-SDC-1-PT
Page 396
HOL-1703-SDC-1-PT
Explore a ltima regra padro

Role at a direita para poder ver as opes de ao (Action) para a regra padro e
posicione o cursor no campo Action:Allow. Isso mostrar um sinal de lpis, que
permite voc ver as opes deste campo.
1. Passe o mouse e Clique no sinal de lpis.
Altere a ao ltima regra padro (Default Rule) de Allow

para Block
1. Selecione a opo de ao Block.
2. Clique em Save.
HOL-1703-SDC-1-PT
Page 397
HOL-1703-SDC-1-PT
Publicar as alteraes da ltima regra padro (Default

Rule)
Voc observar uma barra verde anunciando que agora necessrio escolher entre
"Publish Changes", "Revert Changes" ou "Save Changes". "Publish" envia as alteraes
para o DFW. "Revert" cancela as suas edies. E por fim "Save Changes" permite que
voc salve e publique mais tarde.
1. Selecione Publish Change para salvar sua regra de bloqueio.
Reabra a sesso PuTTY

1. Clique em sua sesso PuTTY para web-01a na barra de tarefas.
HOL-1703-SDC-1-PT
Page 398
HOL-1703-SDC-1-PT
Verifique se a alterao da regra bloqueia a comunicao

Para testar a regra de bloqueio usando suas sesses anteriores do PuTTY e do
navegador
PuTTY: em alguns instantes aps abrir o PuTTY, um aviso mostrar que ele no est
mais ativo, isso ocorre devido regra padro, que agora bloqueia tudo, incluindo SSH.
Minimize o console novamente.
HOL-1703-SDC-1-PT
Page 399
HOL-1703-SDC-1-PT
Verifique se o acesso ao navegador negado

1. Clique na guia referente webapp.corp.local.
2. Clique no boto Refresh.
O site atingir o tempo limite em alguns segundos, isso mostrar que o acesso est
bloqueado pela regra padro definida como Block.
HOL-1703-SDC-1-PT
Page 400
HOL-1703-SDC-1-PT
Criao dos Security Groups - Grupos

de Segurana
Agora criaremos os Security Groups (Grupos de Segurana). Os Security Groups nos
permitem criar contineres reutilizveis de VMs para os quais podemos aplicar polticas.
A associao dos objetos aos grupos pode ser estabelecida de forma esttica e/ou
dinmica.
Crie Security Groups para as 3 camadas do Aplicativo Web

1. Clique na guia do navegador referente ao vSphere Web Client.
2. Clique em Service Composer.
O Service Composer define um novo modelo para o consumo de servios de rede e de
segurana para ambientes virtuais e em nuvem. As polticas so aplicadas atravs da
visualizao dos servios internos ou solues de terceiros e seu simples consumo.
Essas mesmas polticas podem ser reaproveitadas facilmente por meio de recursos de
exportao/importao, o que poderia facilitar a implantao ou recuperao de um
ambiente em caso de um problema. Um desses objetos de uso repetitivo "Security
Group".
HOL-1703-SDC-1-PT
Page 401
HOL-1703-SDC-1-PT
Adicionando um Security Group

1. Selecione Security Groups. Observao: pode ser necessrio o uso de Security
Groups existentes de outros mdulos do laboratrio
2. Para adicionar um novo Security Group, clique no cone New Security Group
Novo Security Group - Web

1. Nomeie este primeiro grupo de Web-tier
2. Clique na seo "Select objects to include"
HOL-1703-SDC-1-PT
Page 402
HOL-1703-SDC-1-PT
Selecione os objetos que devem ser includos

1.
2.
3.
4.
Expanda o menu Object Types e selecione Virtual Machines.

Voc pode filtrardigitando web na janela de pesquisa.
Selecione web-01a.corp.local.
Clique na "seta para a direita" para enviar a VM para a janela Selected
Objects.
5. Repita para web-02a.corp.local.
Observao: como atalho, voc pode clicar duas vezes nas VMs esquerda e elas se
movero para a direita nesta etapa.
HOL-1703-SDC-1-PT
Page 403
HOL-1703-SDC-1-PT
Verifique a criao do Security Group

Voc criou um Security Group chamado Web-tier com 2 VMs atribudas a ele.
Observe o Security Group Web-tier.
Observe o nmero de VMs includas no Security Group.
HOL-1703-SDC-1-PT
Page 404
HOL-1703-SDC-1-PT
Criao das Regras de Acesso

Crie Regras de Acesso para as 3 camadas do aplicativo Customer DB.
Criando as Regras de Acesso de 3 camadas

Em seguida, voc adicionar novas regras para permitir o acesso s VMs da camada
Web e depois configurar o acesso entre as camadas.
1. No menu esquerda, escolha Firewall.
HOL-1703-SDC-1-PT
Page 405
HOL-1703-SDC-1-PT
Adicione uma nova seo para as regras do Aplicativo de 3

camadas
1. Na extremidade direita da linha "Flow Monitoring & Trace Flow Rules-Disabled by
Default (Rule1)", clique no boto Add Section, que se parece com uma pasta.
2. Nomeie a seo como "Customer DB-app".
3. Clique em Save.
Adicione uma nova regra nova seo

1. Na linha da nova seo "Customer DB-app", clique no cone Add rule, que um
"sinal de mais" verde.
HOL-1703-SDC-1-PT
Page 406
HOL-1703-SDC-1-PT
Edite a nova regra

1. Clique no "twistie" para abrir a regra.
2. Passe o mouse sobre o canto superior direito do campo "Name" at um "cone
de lpis aparecer, ento clique no lpis.
3. Insira "EXT to Web" como o nome.
4. Clique em Save.
Defina a origem e o destino da regra

Origem:deixe "Rule Source" (Origem) definido como "any" (qualquer).
1. Passe o ponteiro do mouse sobre o campo Destination (Destino) e selecione o
"sinal de lpis" do Destination.
HOL-1703-SDC-1-PT
Page 407
HOL-1703-SDC-1-PT
Defina os valores do Security Group

Especifique o destino (Destination):
1.
2.
3.
4.
Expanda o menu "Object Type" e role para baixo at encontrar Security Group.
Clique em Web-tier.
Clique na seta superior para mover o objeto para a direita.
Clique em OK.
Definindo um servio
1. Passe o mouse clique no "lpis"do campo "Service".
HOL-1703-SDC-1-PT
Page 408
HOL-1703-SDC-1-PT
Defina o servio da regra

Passe o mouse no campo Service e clique no sinal de lpis.
1. No campo de pesquisa, voc pode pesquisar pelos servios padro
correspondentes. Digite "https"e pressione Enter para ver todos os servios
associados ao https do nome.
2. Selecione o servio HTTPS simples.
3. Clique na seta superior.
4. Observao: repita as etapas 1 a 3 acima para localizar e adicionar o
servio SSH. (Voc ver posteriormente no mdulo que precisaremos de SSH).
5. Clique em OK.
HOL-1703-SDC-1-PT
Page 409
HOL-1703-SDC-1-PT
Crie uma regra para permitir o acesso do Security Group

Web ao Switch Lgico App_Tier
Agora voc adicionar uma segunda regra para permitir que o Security Group Web
acesse a camada de Aplicao por meio da porta correspondente.
1. Comece abrindo o "sinal de lpis.
2. Voc deseja que esta regra seja processada depois da regra anterior, portanto
escolha "Add Below" na caixa suspensa.
Crie os campos Nome e Origem da Segunda Regra

1. Como feito anteriormente, passe o mouse sobre o campo Name e clique no "sinal
de mais". Digite "Web to App" como nome.
2. Escolha o Security Group Object Type: Web-tier no campo Source.
HOL-1703-SDC-1-PT
Page 410
HOL-1703-SDC-1-PT
Defina o destino
1. Passe o mouse e clique no lpis na coluna Destination.
HOL-1703-SDC-1-PT
Page 411
HOL-1703-SDC-1-PT
Crie o campo Destino da Segunda Regra: escolha Logical

Switch
Na primeira regra, voc usou o Security Group Web-tier como destino. Voc poderia
prosseguir com as regras restantes da mesma maneira. Mas, como voc pode ver na
lista suspensa, ser possvel usar diversos objetos do vCenter j definidos. A integrao
do vSphere com as funes de segurana do NSX permitem que voc economize tempo,
permitindo a utilizao de objetos existentes no datacenter virtual em suas regras em
vez de comear do zero. Aqui, voc usar um switch lgico de VXLAN como o destino.
Isso permite que voc crie uma regra a ser aplicada a todas as VMs conectadas a esta
rede.
1. Role para baixo na lista suspensa Object Type e clique na opo Logical
Switch.
2. Selecione App_Tier_Logical_Switch.
3. Clique na seta superior para mover o objeto para a direita.
4. Clique em OK.
HOL-1703-SDC-1-PT
Page 412
HOL-1703-SDC-1-PT
Definindo um servio
1. Passe o mouse e clique no "lpis"da coluna Service.
HOL-1703-SDC-1-PT
Page 413
HOL-1703-SDC-1-PT
Crie o Servio da Segunda Regra: New Service

O Aplicativo de 3 camadas usa a porta tcp 8443 entre as camadas da Web e Aplicao.
Voc criar um novo servio chamado MyApp para ser o servio permitido.
Clique no "cone de lpis"no campo Service.
1.
2.
3.
4.
5.
Clique em New Service.

Digite MyApp como o nome do novo servio.
Selecione TCP como o protocolo.
Digite 8443 como o nmero da porta.
Clique em OK.
HOL-1703-SDC-1-PT
Page 414
HOL-1703-SDC-1-PT
Clique em OK
1. Clique em OK.
HOL-1703-SDC-1-PT
Page 415
HOL-1703-SDC-1-PT
Crie a Terceira Regra: Permitir que Logical Switch App_Tier

acesse Logical Switch DB_Tier
Repetindo as etapas: por conta prpria, crie a terceira e ltima regra permitindo o
acesso entre a camada de Aplicao (App_Tier) e a camada de Banco de Dados
(DB_Tier).
1. Crie a regra final que permite ao Logical Switch deAplicao se
comunicar com o Logical Switch deBanco de Dados por meio do servio
predefinido para o MySQL. O servio predefinido, portanto, voc s precisar
pesquis-lo em vez de cri-lo.
2. Publicar as alteraes. Clique em "Publish Changes".
HOL-1703-SDC-1-PT
Page 416
HOL-1703-SDC-1-PT
Verifique se as novas regras permitem a comunicao com

o Customer DB App
1. Abra seu navegador e volte para a guia usada anteriormente para o
Aplicativo Web.
2. Atualize o navegador para mostrar que voc est obtendo os dados por meio
do Customer DB App.
OBSERVAO: se uma guia ainda no estiver aberta ou caso voc tenha fechado a
anterior. Use o favorito "Customer DB-App Direct Connect" na barra de favoritos.
HOL-1703-SDC-1-PT
Page 417
HOL-1703-SDC-1-PT
Reinicie a sesso do PuTTY para web-01a

1. Clique no cone Session no canto superior esquerdo
2. Clique em Restart Session.
Teste de ping entre camadas

Experimente executar o ping entre as guest VMs do aplicativo de 3 camadas.
Observao: lembre-se de usar a opo SEND TEXT.
1. Ping web-02a
ping -c 2 172.16.10.12
2. Ping app-01a.
ping -c 2 172.16.20.11
3. Ping db-01a.
ping -c 2 172.16.30.11
Os pings no so permitidos e falharo porque o ICMP no permitido entre camadas

ou entre os membros de uma mesma camada em suas regras. Sem permitir o ICMP
entre as camadas, agora a regra padro bloquear todos os outros trfegos.
HOL-1703-SDC-1-PT
Page 418
HOL-1703-SDC-1-PT
Minimize a sesso do PuTTY para web-01a.
HOL-1703-SDC-1-PT
Page 419
HOL-1703-SDC-1-PT
Topologia aps a adio de regras do firewall distribudo

para o aplicativo Customer DB de 3 camadas.
O diagrama mostra o ponto de controle e segurana referente ao firewall no nvel das
vNICs. Embora o DFW seja um mdulo carregvel no kernel do Host ESXi do vSphere
(Kernel Loadable Module - KLM), as regras so aplicadas na vNIC da guest VM. Esta
proteo acompanha a VM durante o vMotion para fornecer proteo completa e
ininterrupta, no permitindo assim que haja uma "janela de oportunidade" durante a
qual a VM fica suscetvel a ataques.
HOL-1703-SDC-1-PT
Page 420
HOL-1703-SDC-1-PT
Concluso do Mdulo 6
Neste mdulo, usamos o recurso Firewall Distribudo (DFW) do NSX para fornecer
polticas de segurana para um Aplicativo tpico de 3 camadas. Este mdulo ilustra
como possvel fornecer um pequeno conjunto de regras que podem ser aplicadas
um grande nmero de VMs. Podemos usar a microssegmentao para proteger milhares
de VMs em nossos ambientes com interveno administrativa mnima.

Parabns por concluir o Mdulo 6!
Se voc estiver procurando informaes adicionais sobre a implementao do NSX,
acesse o centro de documentao do NSX 6.2 por meio do URL abaixo:
preparao de hosts.
de carga.
camadas.
HOL-1703-SDC-1-PT
Page 421
HOL-1703-SDC-1-PT
Mdulo
Unido
Mdulo
Mdulo
Mdulo
Mdulo
Mdulo

2
3
4
5
6


HOL-1703-SDC-1-PT
Page 422
HOL-1703-SDC-1-PT
Conclusion
Thank you for participating in the VMware Hands-on Labs. Be sure to visit
http://hol.vmware.com/ to continue your lab experience online.
Lab SKU: HOL-1703-SDC-1-PT
Version: 20161016-085946
HOL-1703-SDC-1-PT
Page 423

Hol 1703 SDC 1 PDF PT BR NSX

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Hol 1703 SDC 1 PDF PT BR NSX

Enviado por

Direitos autorais:

Formatos disponíveis

HOL-1703-SDC-1-PT

Viso geral do laboratrio

1 - Michael Armstrong, engenheiro de sistemas snior, Reino

Mostafa Magdy, engenheiro de sistemas snior, Canad

Local do console principal

Mtodos alternativos de entrada de dados por teclado

Clicar e arrastar contedo do manual do laboratrio para a

Acesso ao teclado internacional on-line

Clicar uma vez na janela ativa do console

Observe a parte inferior direita da tela

Solicitao ou marca d'gua de ativao

Mdulo 1 - Passo a passo

Introduo implantao do NSX

Implantao do OVA do NSX Manager

Hands-on Labs Interactive Simulation:

Voc terminou o Mdulo 1

Mdulo 6 - Firewall distribudo (45 minutos) - Bsico - este mdulo abordar o

1 - Michael Armstrong, engenheiro de sistemas snior, Reino

Mostafa Magdy, engenheiro de sistemas snior, Canad

Como encerrar o laboratrio

Mdulo 2 - Switch lgico

Switch lgico - Viso geral do mdulo

Confirmaremos que a configurao dos hosts est pronta.

Iniciar o Google Chrome

Fazer login no vSphere Web Client

Navegue at a seo Networking & Security no Web Client

Visualizar os componentes implementados

A topologia aps a preparao do host com os

Visualizar a configurao do VTEP

3. Clique no twistie para expandir os clusters.

A topologia aps a configurao dos VTEPs nos clusters

O modo hbrido oferece uma simplicidade operacional semelhante ao modo unicast - a

Configurao do ID do segmento e do endereo de grupo

Definio de configuraes da zona de transporte

Confirme os Clusters como membros da zona de

A topologia aps a definio da zona de transporte

Volte para o menu Networking & Security

Criar um novo switch lgico

Clique em Logical Switches no lado esquerdo.

Anexe o novo switch lgico ao NSX Edge Services Gateway

2. Clique com o boto direito do mouse em Prod_Logical_Switch e selecione

Conectar o switch lgico ao NSX Edge

Conectar o switch lgico ao NSX Edge

D um nome Interface e configure o seu endereo IP

Concluir o processo de edio da interface

A topologia aps a conexo de Prod_Logical_Switch ao NSX

Acesse Hosts and Clusters

Conectar as VMs ao vDS

Clique no boto Hosts & Clusters.

Conectar e ativar a interface de rede

Ao lado de Network Adaptor, clique no menu suspenso de interfaces.

Anexe web-03a and web-04a ao Prod_Logical_Switch

Voltar para Network Security

Selecione Logical Switches

Adicionar Mquinas Virtuais a serem anexadas ao novo

Adicionar vNICs das VMs ao switch lgico

Complete Add VMs to Logical Switch

Testaremos a conectividade entre Web-03a e Web-04a

Visualizao de hosts e clusters

Abra uma sesso SSH para web-03a

Faa ping no web server web-sv-04a para mostrar a

Escalabilidade/Disponibilidade do NSX Controller

Verificar a configurao do controller existente