Compartir a través de

Configuración de una puerta de enlace RAS de SDN en el tejido de VMM

  • Artículo

En este artículo se describe cómo configurar una puerta de enlace RAS de redes definidas por software (SDN) en el tejido de System Center Virtual Machine Manager (VMM).

Una puerta de enlace RAS de SDN es un elemento de ruta de acceso de datos en SDN que permite la conectividad de sitio a sitio entre dos sistemas autónomos. En concreto, una puerta de enlace RAS permite la conectividad de sitio a sitio entre redes de inquilinos remotos y el centro de datos mediante IPSec, encapsulación de enrutamiento genérico (GRE) o reenvío de nivel 3. Más información.

Nota:

VMM 2025 y 2022 proporcionan compatibilidad con doble pila para la puerta de enlace ras.

Nota:

  • A partir de VMM 2019 UR1, el tipo Una red conectada cambia a Red conectada.
  • VMM 2019 UR2 y versiones posteriores admiten IPv6.

Antes de comenzar

Asegúrate de lo siguiente antes de comenzar:

  • Planeamiento: lee sobre cómo planear una red definida por software y revisa la topología de planeamiento en este documento. En el diagrama se muestra una configuración de ejemplo de 4 nodos. La configuración ofrece una alta disponibilidad con tres nodos de controladora de red (VM) y tres nodos SLB/MUX. Muestra dos inquilinos con una red virtual dividida en dos subredes virtuales para simular un nivel web y un nivel de base de datos. Tanto la infraestructura como las máquinas virtuales de inquilino se pueden redistribuir en cualquier host físico.
  • Controladora de red: debes implementar la controladora de red antes de implementar la puerta de enlace RAS.
  • SLB: para asegurarte de que las dependencias se controlan correctamente, también debes implementar el SLB antes de configurar la puerta de enlace. Si se configura un SLB y una puerta de enlace, puedes usar y validar una conexión IPsec.
  • Plantilla de servicio: VMM usa una plantilla de servicio para automatizar la implementación de GW. Las plantillas de servicio admiten la implementación de varios nodos en máquinas virtuales de generación 1 y generación 2.

Pasos de implementación

Para configurar una puerta de enlace RAS, haz lo siguiente:

  1. Descargar la plantilla de servicio: descarga la plantilla de servicio que necesitas para implementar el GW.

  2. Crear la red lógica VIP: crea una red lógica de VIP de GRE. Necesita un grupo de direcciones IP para VIP privadas y se deben asignar las VIP a puntos de conexión GRE. La red existe para definir las VIP que se asignan a las VM de la puerta de enlace que se ejecutan en el tejido de SDN para un tipo de conexión GRE de sitio a sitio.

    Nota:

    Para habilitar la compatibilidad con la pila doble, al crear la red lógica VIP de GRE, agregue la subred IPv6 al sitio de red y cree el grupo de direcciones IPv6. (aplicable para la versión 2022 y posteriores)

  3. Importar la plantilla de servicio: importa la plantilla de servicio de puerta de enlace RAS.

  4. Implementar la puerta de enlace: implementa una instancia de servicio de puerta de enlace y configura sus propiedades.

  5. Validar la implementación: configura GRE de sitio a sitio, IPSec o L3, y valida la implementación.

Descarga de la plantilla de servicio

  1. Descarga la carpeta SDN del repositorio de GitHub de Microsoft SDN y copia las plantillas de VMM>Templates>GW en una ruta de acceso local en el servidor VMM.
  2. Extrae el contenido en una carpeta del equipo local. Lo importarás a la biblioteca más adelante.

La descarga contiene dos plantillas:

  • La plantilla EdgeServiceTemplate_Generation 1 VM.xml sirve para implementar el servicio GW en máquinas virtuales de generación 1.
  • La plantilla EdgeServiceTemplate_Generation 2 VM.xml sirve para implementar el servicio GW en máquinas virtuales de generación 2.

Ambas plantillas tienen un recuento predeterminado de tres máquinas virtuales, que se pueden cambiar en el diseñador de plantillas de servicio.

Creación de la red lógica de VIP de GRE

  1. En la consola de VMM, ejecuta el Asistente para crear red lógica. Escribe un nombre, proporciona una descripción si quieres y selecciona Siguiente.
  1. En Settings, selecciona One Connected Network. Opcionalmente, puedes seleccionar Crear una red de VM con el mismo nombre. Esta configuración permite que las VM accedan directamente a esta red lógica. Selecciona Managed by the Network Controller y Next.
  • En VMM 2019 UR1 y versiones posteriores, en Configuración, selecciona Red conectada, luego selecciona Administrado por la controladora de red y, a continuación, selecciona Siguiente.
  1. En Configuración, selecciona Red conectada, luego selecciona Administrado por la controladora de red y, a continuación, selecciona Siguiente.

  1. En Sitio de red, especifica la configuración:

    Estos son los ejemplos de muestra:

    • Nombre de red: GRE VIP
    • Subred: 31.30.30.0
    • Máscara: 24
    • Id. de VLAN en el tronco: NA
    • Puerta de enlace: 31.30.30.1
  1. En el Resumen, revisa la configuración y completa el asistente.

  1. Para usar el espacio de direcciones IPv6, agrega tanto la subred IPv4 como la IPv6 al sitio de red. Estos son los ejemplos de muestra:

    • Nombre de red: GRE VIP
    • Subred: FD4A:293D:184F:382C::
    • Máscara: 64
    • Id. de VLAN en el tronco: NA
    • Puerta de enlace: FD4A:293D:184F:382C::1

  2. En el Resumen, revisa la configuración y completa el asistente.

  1. Para usar IPv4, agregue la subred IPv4 al sitio de red y cree el grupo de direcciones IPv4. Estos son los ejemplos de muestra:

    • Nombre de red: GRE VIP
    • Subred:
    • Máscara:
    • Id. de VLAN en el tronco: NA
    • Puerta de enlace:

  2. Para usar IPv6, agregue las subredes IPv4 e IPV6 al sitio de red y cree el grupo de direcciones IPV6. Estos son los ejemplos de muestra:

    • Nombre de red: GRE VIP
    • Subred: FD4A:293D:184F:382C::
    • Máscara: 64
    • Id. de VLAN en el tronco: NA
    • Puerta de enlace: FD4A:293D:184F:382C::1

  3. En el Resumen, revisa la configuración y completa el asistente.

Crea un grupo de direcciones IP para las direcciones VIP de GRE

Nota:

A partir de VMM 2019 UR1 y versiones posteriores, se puede crear un grupo de direcciones IP con el asistente de creación de redes lógicas.

Nota:

Puedes crear un grupo de direcciones IP con el asistente Create Logical Network.

  1. Haga clic con el botón derecho en la red lógica VIP GRE >Crear grupo de direcciones IP.
  2. Rellena Name y una descripción opcional para el grupo, y comprueba que la red VIP está seleccionada. Seleccione Siguiente.
  3. Acepta el sitio de red predeterminado y selecciona Siguiente.
  1. Elige una dirección IP inicial y final para el intervalo. Inicia el intervalo en la segunda dirección de la subred disponible. Por ejemplo, si la subred disponible va de .1 a .254, inicia el intervalo en .2.
  2. En las direcciones IP reservadas para los VIP de equilibrador de carga, escribe el intervalo de direcciones IP en la subred. Debe coincidir con el intervalo que usaste para las direcciones IP iniciales y finales.
  3. No es necesario proporcionar información de puerta de enlace, DNS o WINS, ya que este grupo se usa para asignar direcciones IP solo a través de la controladora de red. Selecciona Next para omitir estas pantallas.
  4. En Summary, revisa la configuración y finaliza el asistente.
  1. Si has creado una subred IPv6, crea un grupo de direcciones VIP de GRE IPv6 independiente.
  2. Elige una dirección IP inicial y final para el intervalo. Inicia el intervalo en la segunda dirección de la subred disponible. Por ejemplo, si la subred disponible es de .1 a .254, inicia el intervalo en .2. Para especificar el intervalo de VIP, no utilices la forma abreviada de la dirección IPv6; usa el formato 2001:db8:0:200:0:0:0:7 en lugar de 2001:db8:0:200::7.
  3. En las direcciones IP reservadas para los VIP de equilibrador de carga, escribe el intervalo de direcciones IP en la subred. Debe coincidir con el intervalo que usaste para las direcciones IP iniciales y finales.
  4. No es necesario proporcionar información de puerta de enlace, DNS o WINS, ya que este grupo se usa para asignar direcciones IP solo a través de la controladora de red. Selecciona Next para omitir estas pantallas.
  5. En Summary, revisa la configuración y finaliza el asistente.

Importación de la plantilla de servicio

  1. Selecciona Library>Import Template.
  2. Navega a la carpeta de la plantilla de servicio. Por ejemplo, seleccione el archivo EdgeServiceTemplate Generation 2.xml.
  3. Actualiza los parámetros del entorno a medida que importes la plantilla de servicio.

Nota:

Los recursos de biblioteca se importaron durante la implementación de la controladora de red.

  • WinServer.vhdx: selecciona la imagen de disco duro virtual que preparaste e importaste anteriormente durante la implementación de la controladora de red.
  • EdgeDeployment.CR: asigna al recurso de biblioteca de EdgeDeployment.cr en la biblioteca VMM.

  1. En la página Summary, revisa los detalles y selecciona Import.

    Nota:

    Puedes personalizar la plantilla de servicio. Más información.

Implementación del servicio de puerta de enlace

Para habilitar IPv6, al incorporar el servicio de puerta de enlace, activa la casilla Enable IPv6 y selecciona la subred VIP GRE de IPv6 que has creado antes. Además, seleccione el grupo IPv6 público y proporcione la dirección IPv6 pública.

En este ejemplo se usa la plantilla generación 2.

  1. Selecciona la plantilla de servicio EdgeServiceTemplate Generation2.xml y selecciona Configure Deployment.

  2. Rellena Name y elige un destino para la instancia de servicio. El destino debe asignarse a un grupo host que contenga los hosts configurados anteriormente para la implementación de puerta de enlace.

  3. En Network Settings, asigna la red de administración a la red de VM de administración.

    Nota:

    El cuadro de diálogo Deploy Service aparece una vez completada la asignación. Es normal que las instancias de VM estén inicialmente en rojo. Selecciona Refresh Preview para buscar automáticamente los hosts adecuados para la VM.

  4. A la izquierda de la ventana Configure Deployment, configura las opciones siguientes:

    • AdminAccount. Necesario. Selecciona una cuenta de ejecución que se usará como administrador local en las VM de puerta de enlace.
    • Management Network. Necesario. Elige la red de VM de administración que creaste para la administración de hosts.
    • Management Account. Necesario. Selecciona una cuenta de ejecución con permisos para agregar la puerta de enlace al dominio de Active Directory asociado a la controladora de red. Puede ser la misma cuenta que se usa para MgmtDomainAccount al implementar la controladora de red.
    • FQDN. Necesario. FQDN para el dominio de Active Directory para la puerta de enlace.

  5. Selecciona Implementar servicio para comenzar el trabajo de implementación del servicio.

    Nota:

    • Los tiempos de implementación variarán en función del hardware, pero suelen durar entre 30 y 60 minutos. Si se produce un error en la implementación de la puerta de enlace, elimina la instancia de servicio con errores en Todos los servicios>de host antes de volver a intentar la implementación.

    • Si no usas un VHDX con licencia por volumen (o la clave de producto no se proporciona mediante un archivo de respuesta), la implementación se detendrá en la página Clave de producto durante el aprovisionamiento de máquinas virtuales. Accede manualmente al escritorio de la máquina virtual y escribe la clave u omítela.

    • Si deseas reducir o escalar horizontalmente una instancia de SLB implementada, lee este blog.

Límites de puerta de enlace

A continuación se muestran los límites predeterminados de la puerta de enlace administrada de NC:

  • MaxVMNetworksSupported= 50
  • MaxVPNConnectionsPerVMNetwork= 10
  • MaxVMSubnetsSupported= 550
  • MaxVPNConnectionsSupported= 250

Nota:

Para una red virtualizada de SDNv2, se crea una subred de enrutamiento interna para cada red de máquina virtual. El límite MaxVMSubnetsSupported incluye las subredes internas creadas para las redes de máquina virtual.

Se pueden invalidar los límites predeterminados establecidos para la puerta de enlace administrada de la controladora de red. Sin embargo, invalidar el límite en un número mayor podría afectar al rendimiento de la controladora de red.

Invalidación de los límites de la puerta de enlace

Para invalidar los límites predeterminados, anexa la cadena de invalidación a la cadena de conexión de servicio de la controladora de red y actualiza en VMM.

  • MaxVMNetworksSupported= seguido del número de redes de máquina virtual que se pueden usar con esta puerta de enlace.
  • MaxVPNConnectionsPerVMNetwork= seguido del número de conexiones VPN que se pueden crear por red de máquina virtual con esta puerta de enlace.
  • MaxVMSubnetsSupported= seguido del número de redes de VM que se pueden utilizar con esta puerta de enlace.
  • MaxVPNConnectionsSupported= seguido del número de conexiones VPN que se pueden utilizar con esta puerta de enlace.

Ejemplo:

Para invalidar el número máximo de redes de máquina virtual que se pueden usar con la puerta de enlace a 100, actualiza la cadena de conexión de la siguiente manera:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Configuración del rol de administrador de puertas de enlace

Ahora que se ha implementado el servicio de puerta de enlace, puedes configurar las propiedades y asociarlo al servicio de controladora de red.

  1. Haz clic en Tejido>Servicio de red para mostrar la lista de servicios de red instalados. Haz clic con el botón derecho en el servicio de la controladora de red >Propiedades.

  2. Selecciona la pestaña Servicios y selecciona el rol de Administrador de puerta de enlace.

  3. Busca el campo Servicio asociado en Información del servicio, y selecciona Examinar. Selecciona la instancia de servicio de puerta de enlace que creaste anteriormente y selecciona Aceptar.

  4. Selecciona la cuenta de ejecución que usará la controladora de red para acceder a las máquinas virtuales de puerta de enlace.

    Nota:

    La cuenta de ejecución debe tener privilegios de administrador en las máquinas virtuales de puerta de enlace.

  5. En la subred GRE VIP, selecciona la subred VIP que creaste anteriormente.

  1. En Grupo de IPv4 público, selecciona el grupo que configuraste durante la implementación de SLB. En Dirección IPv4 pública, proporciona una dirección IP del grupo anterior y asegúrate de no seleccionar las tres direcciones IP iniciales del intervalo.

  1. Para habilitar la compatibilidad con IPv4, en el Grupo de IPv4 público, selecciona el grupo que configuraste durante la implementación de SLB. En Dirección IPv4 pública, proporciona una dirección IP del grupo anterior y asegúrate de no seleccionar las tres direcciones IP iniciales del intervalo.

  2. Para habilitar la compatibilidad con IPv6, desde Propiedades de la controladora de red>Servicios selecciona la casilla Habilitar IPv6 y selecciona la subred IPv6 GRE VIP que has creado anteriormente; indica el grupo IPv6 público y la dirección IPv6 pública, respectivamente. Además, selecciona la subred de front-end IPv6 que se asignará a las máquinas virtuales de puerta de enlace.

    Captura de pantalla de la habilitación de IPv6.

  3. En Capacidad de la puerta de enlace, configura las opciones de capacidad.

    La capacidad de la puerta de enlace (Mbps) indica el ancho de banda TCP normal que se espera fuera de la máquina virtual de puerta de enlace. Debes establecer este parámetro en función de la velocidad de red subyacente que uses.

    El ancho de banda del túnel IPsec está limitado a (3/20) de la capacidad de la puerta de enlace. Esto significa que, si la capacidad de la puerta de enlace está establecida en 1000 Mbps, la capacidad de túnel IPsec equivalente se limitará a 150 Mbps.

    Nota:

    El límite de ancho de banda es el valor total del ancho de banda entrante y saliente.

    Las proporciones equivalentes para túneles GRE y L3 son 1/5 y 1/2, respectivamente.

  4. Configura el número de nodos reservados para la copia de seguridad en Nodos para el campo reservado para errores.

  5. Para configurar máquinas virtuales de puerta de enlace individuales, selecciona cada máquina virtual y selecciona la subred de front-end IPv4, especifica el ASN local y, opcionalmente, agrega la información del dispositivo de emparejamiento para el mismo nivel BGP.

Nota:

Debes configurar los pares BGP de puerta de enlace si tienes previsto usar conexiones GRE.

La instancia de servicio que implementaste está asociada ahora con el rol de administrador de puerta de enlace. Debes ver la instancia de máquina virtual de puerta de enlace en ella.

  1. En Capacidad de la puerta de enlace, configura las opciones de capacidad.

    La capacidad de la puerta de enlace (Mbps) indica el ancho de banda TCP normal que se espera fuera de la máquina virtual de puerta de enlace. Debes establecer este parámetro en función de la velocidad de red subyacente que uses.

    El ancho de banda del túnel IPsec está limitado a (3/20) de la capacidad de la puerta de enlace. Esto significa que, si la capacidad de la puerta de enlace está establecida en 1000 Mbps, la capacidad de túnel IPsec equivalente se limitará a 150 Mbps.

    Nota:

    El límite de ancho de banda es el valor total del ancho de banda entrante y saliente.

    Las proporciones equivalentes para túneles GRE y L3 son 1/5 y 1/2, respectivamente.

  2. Configura el número de nodos reservados para la copia de seguridad en Nodos para el campo reservado para errores.

  3. Para configurar máquinas virtuales de puerta de enlace individuales, selecciona cada máquina virtual y selecciona la subred de front-end IPv4, especifica el ASN local y, opcionalmente, agrega la información del dispositivo de emparejamiento para el mismo nivel BGP.

Nota:

Debes configurar los pares BGP de puerta de enlace si tienes previsto usar conexiones GRE.

La instancia de servicio que implementaste está asociada ahora con el rol de administrador de puerta de enlace. Debes ver la instancia de máquina virtual de puerta de enlace en ella.

Validación de la implementación

Después de implementar la puerta de enlace, puedes configurar los tipos de conexión S2S GRE, S2S IPSec o L3 y validarlos. Para obtener más información, puedes ver el siguiente contenido relacionado:

Para obtener más información sobre los tipos de conexión, puedes ver esto.

Configuración del selector de tráfico desde PowerShell

Este es el procedimiento para configurar el selector de tráfico mediante PowerShell de VMM.

  1. Crea el selector de tráfico mediante los parámetros siguientes.

    Nota:

    Los valores usados son solo ejemplos.

    $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector

$t.Type=7 // IPV4=7, IPV6=8

$t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

$t.PortEnd=5090

$t.PortStart=5080

$t.IpAddressStart=10.100.101.10

$t.IpAddressEnd=10.100.101.100

  2. Configura el selector de tráfico anterior mediante el parámetro -LocalTrafficSelectors de Add-SCVPNConnection o Set-SCVPNConnection.

Eliminación de la puerta de enlace del tejido de SDN

Sigue estos pasos para quitar la puerta de enlace del tejido de SDN.