En este documento se describe cómo realizar la configuración de las funciones de firewall y otras funciones de seguridad perimetral a través del panel VMWare vCloud Director.

Esto incluye los servicios de:

  • DHCP
  • Firewall
    • filtrado de reglas,
    • traducción de direcciones (IP NAT)
  • Enrutamiento estático
  • Balanceo de carga
  • Límite de Ancho de Banda

Consulte en el Manual de vCloud más información sobre cómo utilizar el panel para la gestión del resto de infraestructura cloud.

 

Redes de Organización y Edge Gateway

La implementación de Edge Gateway permite mayor flexibilidad a la hora de configurar interconexión de las distintas redes de un mismo Centro de Datos Virtual así como la interconexión entre redes internas y redes externas e Internet. Este permite disponer varias redes privadas con direccionamiento IP privado y actuar como puerta de enlace para las redes de organización pudiendo proporcionar servicios adicionales de conectividad.

Puedes ver el Gateway en la siguiente parte vDirector, un Gateway no puede ser creado por el administrador de organización, tiene que ser creado por el administrador del sistema:

Un Gateway no puede ser creado por el administrador de organización, tiene que ser creado por el administrador del sistema.

Puedes ver la configuración de Gateway en las propiedades de la organización.

Fw-Edge01

Desde esta pantalla, pueden configurarse las distintas funciones del Gateway

NAT

Existen dos tipos de reglas NAT:

  • SNAT ( Source NAT ): Esta regla se configura para que una IP o VM tenga salida a Internet y se aplicará siempre sobre la red externa o pata externa del Edge Gateway. Permitirá la salida a Inter con la IP pública que configures en dicha regla de NAT.
  • DNAT (Destination NAT): Esta permite o posibilita el tráfico entrante a la VM o IP. Puedes permitir el tráfico completo o granularizar hasta el nivel de puerto.

Es necesario configurar ambas para cada una de las VMs, ya que por defecto las VM no tendrán salida a Internet.

La utilización del direccionamiento público para las patas externas de Edge, debe ser configurado por el administrador del sistema en el Edge y no podrá agregarse o modificarse por parte del usuario de la organización.

Podrás consultar el direccionamiento público que tiene asignado tu Edge desde las propiedades del Edge Gateway en la pestaña “Sub-Allocate IP Pools”

Fw-Edge-NAT01

Este será el direccionamiento público que se podrá utilizar.

Para configurar la conectividad en una VM tendrás se tendrá que configurar dos reglas como mínimo, una SNAT para habilitar el tráfico saliente y un DNAT para habilitar el tráfico entrante.

En el siguiente ejemplo, se va a configurar las dos reglas para una VM a la que se ha agregado a su interface de red una red de organización. Para ello, colócate sobre la red de organización a la que está conectada tu VM y con el botón derecho selecciona la opción “Configure Service”

Fw-Edge-NAT02

Haz click en “Add SNAT…”, en esta opción tendrás que configurar sobre el interface externo la IP privada que tiene la máquina virtual y la IP pública a la que estará mapeada. De esta manera cuando la VM salta Internet tendrá la IP de este direccionamiento público

Fw-Edge-NAT03

La dirección IP pública que configures tiene que pertenecer al rango de red que tienes en la pestaña “Sub-Allocate IP Pools”.

Ahora necesitamos configurar una regla NAT Destino. Dale al botón “Add DNAT…”, vamos a configurar una regla NAT para que desde la IP púbica se puede acceder a la IP privada de tu máquina virtual haciendo una traslación de IP.

Siempre sobre la pata externa de nuestro Gateway configuraremos por ejemplo el acceso a nuestra VM a través del puerto 3389 de Terminal Service

Fw-Edge-NAT04

Esta configuración permitirá la salida a Internet de nuestra VM con la IP pública 10.8.8.240 y permitirá acceder a nuestra VM a través del puerto 3389 contra la IP 10.8.8.240.

 

Firewall

Por defecto el tráfico está completamente bloqueado, ni siquiera podrás hacer ping al Gateway, por lo que si tienes dudas, lo mejor es deshabilitar el Firewall en un primer momento y luego ir habilitando poco a poco hasta dar con las reglas necesarias. Puedes crear por ejemplo una regla para permitir todo el tráfico y permitirlo por defecto:

EdgeGW-fw01

En las reglas de Firewall se puede utilizar las palabras: Any, external, internal. Se pueden utilizar configuraciones con redes completas o segmentos de red. Esto nos permite una mayor flexibilidad a la hora de crear reglas.

Creemos una regla para aceptar el tráfico al puerto 3389 de nuestra IP 10.8.8.240 que hace el NAT a la IP 192.168.0.4. Denegaremos ya el tráfico por defecto y permitiremos todo el tráfico saliente de nuestra VM y sólo permitiremos el 3389 entrante.

Reglas NAT necesarias

EdgeGW-fw02

Regla de Firewall necesarias para acceder a la máquina 192.168.90.4 a través de la 10.8.8.240

EdgeGW-fw03

 

Balanceo de Carga

Esta nueva característica a partir de la versión 5.1 de vCloud Director nos permite crear distintos grupos de tráfico para balancear la carga entre las diferentes MV.

La configuración de esta funcionalidad, se realizará en base a los siguientes conceptos:

  • Pool Servers. Conjunto de servidores que se balancearán y sus propiedades.
  • Virtual Servers. IP virtual del balanceo y sus propiedades. Esta será la dirección IP en la que se hace público el servicio balanceado.

Para el ejemplo, tenemos dos servidores conectados a una red de organización.

EdgeGW-lb01

Sobre el Edge Gateway en la pestaña llamada “Load Balance”, en la sección “Pool Servers” se creará un nuevo pool de servidores

Indica un nombre para el grupo y selecciona la política de balanceo que deseas para los servidores del grupo.

 

EdgeGW-lb02

Configura los chequeos que se realizan sobre los servidores y el puerto de monitorización.

EdgeGW-lb03

Puedes configurar también una URI concreta para monitorizar el servicio:

EdgeGW-lb04

Agrega las IPs privadas de los servidores Web:

EdgeGW-lb05

Finaliza el asistente.

Comprueba los datos de configuración:

EdgeGW-lb06

Dale ok para terminar.

 

Ahora que ya tenemos configurado el grupo de servidores, vamos a configurar el virtual Server. Para ello,  pulsa en la opción “Virtual Server”. Aquí configuraremos la IP pública y asociaremos el Virtual al grupo de servidores que hemos creado en el paso anterior

EdgeGW-lb07

Crea ahora las reglas del Firewall correspondientes:

EdgeGW-lb08

Ahora podrás acceder a la IP pública que has configurado en el Virtual Server y podrás ver si das a F5 para actualizar el explorador como cambia de servidor y hace correctamente el Round robin

 

Redes de vAPP

 

La configuración de la red de vAPP se  puede realizar utilizando el botón derecho sobre la red de vAPP. Podrás configurar: DHCP, Firewall, NAT y Static Routing.

FW-vApp-1

 

Firewall

En la definción de las reglas de firewall se podrán utilizar carácteres especiales para representar grupos de direccionamiento. Estos serán: any, external, internal, redes completas con formato CIDR, una IP o un Rango.

Para dar de alta una regla, colócate en la pestaña “Firewall” y pulsa el botón “Add”:

FW-vApp-2

Hemos creado una regla para el Protocolo HTTP. Donde el “Source/Origen” será cualquier direcciona externa, el “Source Port/Puerto Origen” es el 80, el destino será una de nuestras máquinas virtuales, el puerto destino será el 80 y será para TCP.

 

NAT

La configuración de las reglas NAT permite redirigir el tráfico desde una IP pública (Externa) a una dirección privada perteneciente a una VM de nuestra vAPP haciendo una translación  de direccionamiento modificando el origen y el destino de los paquetes al pasar el firewall.

Los tipos de NAT que se pueden configurar pueden ser de dos tipos:

  • IP Translation: Todo el tráfico que viene a la IP pública es nateado a la IP privada que se ha configurado en la regla de NAT a la IP privada configurada.
  • IP Fordwarding: Solo el tráfico que va redirigido a un puerto concreto es nateado a otra ip y al mismo u otro puerto.

FW-vApp-3

 La configuración “IP Translation” mapea una IP pública a una IP privada directamente, permitiendo realizar un NAT 1 a 1. De esta,  manera se simula una conexión directa entre IP pública y privada. Es como una red directa, pero teniendo Firewall en medio. La IP pública de salida será la IP pública mapeada en la regla.

Puedes ver en la siguiente captura como por ejemplo en la primera opción, todo el tráfico que le llega a la IP 10.8.8.203 es redirigido (Traducido) a la IP 192.168.2.100.

FW-vApp-4

La configuración de “IP Forwanrding” mapea un puerto de la IP pública a un puerto de una IP privada. De manera que todo el tráfico que viene dirigido a un puerto concreto será reenviado (Traducido) a un puerto de la IP privada de nuestra VM.

Esta configuración nos permitirá tener una IP pública y poder hacer diferentes redirecciones en función del puerto a diferentes IPs privadas. Esta configuración se realiza normalmente para el ahorro de IPs.

Cuando realizas estas configuraciones las reglas de IP Translation se borran y la IP de salida de las máquinas que están detrás de estas reglas sale por la denominada “IP de navegación” que puedes observar en la última pestaña “Static Route”:

 FW-vApp-5

La configuración de reglas “IP forwarding” se configuran introduciendo: el puerto de la IP pública al que llegan los paquetes, la IP destino y el puerto destino.

La IP de salida será siempre la IP de navegación. En este ejemplo: 10.8.8.205

FW-vApp-6

 Si necesitamos utilizar diferentes direccionamientos públicos para utilizar más IPs, la configuración necesaria será configurar otra red de vAPP o bien utilizar el sistema de Redes de Organización que trabaja junto con Edge Gateway para cumplir todos los requisitos necesarios de NAT y múltiples direccionamiento públicos.

Cuando configuras una regla Port Forwanding existe la posibilidad de habilitar el “IP Masquerade” esto oculta la translación en los paquetes si tienes aplicaciones que miran el origen y el destino de los paquetes, será necesario habilitarla o deshabilitarla.