Configure reglas de redireccionamiento para enviar tráfico a servicios de terceros que se inserten en un enrutador de nivel 0 o nivel 1.

Requisitos previos

  • Registrar e implementar los servicios de terceros en NSX-T.
  • Configure el enrutador de nivel 0 o nivel 1.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Seleccione Seguridad > Seguridad de Norte y Sur > Introspección de red (N-S) > Agregar directiva
    Una sección de directiva es similar a una sección de firewall donde se definen las reglas que determinan cómo fluye el tráfico.
  3. Establezca el campo Redireccionamiento a de una instancia de servicio o una cadena de servicios a un enrutador lógico de nivel 0 o de nivel 1 para realizar una introspección de red del tráfico que fluye entre las entidades de origen y de destino.
  4. Para agregar una directiva, haga clic en Publicar.
  5. Haga clic en los tres puntos verticales en una sección y haga clic en Agregar regla.
  6. Edite el campo Origen para agregar un grupo mediante la definición de criterios de pertenencia, miembros estáticos, direcciones IP/MAC o grupos de Active Directory. Los criterios de pertenencia pueden definirse a partir de uno de estos tipos: máquina virtual, conmutador lógico, puerto lógico y conjunto de direcciones IP. Puede seleccionar miembros estáticos de una de estas categorías: grupo, segmento, puerto de segmento, interfaz de red virtual o máquina virtual.
  7. Haga clic en Guardar.
  8. Para agregar un grupo de destino, edite el campo Destino.
  9. En el campo Se aplica a, elija una de las siguientes opciones:
    • Para un servicio insertado en el enrutador lógico de nivel 0, seleccione el vínculo superior del enrutador de nivel 0.
    • Para un servicio insertado en el enrutador lógico de nivel 1, no es necesario seleccionar ningún vínculo superior.
  10. Puede habilitar cada regla de forma individual. Una vez que la habilite, se aplicará al tráfico que coincida con la regla.
  11. Haga clic en Configuración avanzada para configurar la dirección del tráfico y habilitar el registro.
  12. En el campo Acción, seleccione Redirigir para redirigir el tráfico por la instancia de servicio o No redirigir para que no se aplique introspección de red en el tráfico.
  13. Haga clic en Publicar.
  14. Para revertir una regla publicada, seleccione una regla y haga clic en Revertir.
  15. Para agregar una directiva, haga clic en + Agregar directiva.
  16. Para clonar una directiva o una regla, seleccione la directiva o la regla y haga clic en Clonar.
  17. Para habilitar una regla, active el icono Habilitar/deshabilitar, o bien seleccione la regla y, en el menú, haga clic en Habilitar > Habilitar regla.
  18. Después de habilitar o desactivar una regla, para aplicarla, haga clic en Publicar.

Resultados

En función de las acciones establecidas, NSX-T redirecciona el tráfico norte-sur a la instancia de servicio para la introspección de red.

El tráfico en los nodos de NSX Edge se redirecciona a una ruta de servicio para la introspección de tráfico. Después de que la ruta de servicio introspeccione el tráfico, los paquetes se envían a su destino original.

A partir de NSX-T 3.2, el tráfico norte-sur redireccionado a una cadena de servicios puede utilizar varias rutas de servicio para el equilibrio de carga. NSX-T selecciona una de las rutas de servicio óptimas disponibles actualmente para prestar servicio a cada flujo de tráfico nuevo. Cada flujo está anclado a una única ruta. Diferentes flujos pueden utilizar diferentes rutas en función de la directiva round robin. El encadenamiento de servicios norte-sur puede utilizar un número máximo de 16 rutas de servicio.