Buenas chic@s! En el día de hoy vengo hablaros sobre el L2 Bridge, sus diferentes caso de uso, además de como implementar esta característica en uno de los caso mas típicos, como es el movimiento de cargas desde una VLAN a un segmento de NSX-T.
Introducción
NSX-T admite «Bridges» L2 entre segmentos «Overlay» y redes basadas en VLAN. Cuando las cargas de trabajo conectadas al segmento de NSX-T requieren conectividad L2 a cargas de trabajo conectadas a VLAN, o necesitan llegar a un dispositivo físico (como un GW, LB o cortafuegos físico), se puede aprovechar el bridge L2 de NSX-T.
Casos de uso de Layer 2 Bridging
1: Maquinas virtuales/físicas conectadas a una VLAN que requieren su extensión con segmentos de NSX-T: Los clientes que estén buscando que las cargas de trabajo que tiene en su actual infraestructura se pueda mover a la infraestructura aprovechando la tecnología «Layer 2 Bridging» para mover sus cargas de trabajo sin problemas.
A la hora de las migraciones, algunos de los retos asociados a las migraciones son el cambio de IP de cargas de trabajo, la migración de reglas de cortafuegos, reglas NAT, etc. Hay situaciones en las que las que el cambio de IP no es factible debido a las dependencias de las aplicaciones. Con L2 bridging, no hay que preocuparse en absoluto de estas cosas.
2: Migración de NSX-V a NSX-T: NSX-V le quedan días de soporte, por ello poco a poco tenemos que empezar a migrar nuestras cargas a la nueva infraestructura. Esto es posible ya que extenderíamos nuestros logical switches hacia nuestro entorno greenfield de NSX-T mediante los Bridges.
Antes de configurar L2 Bridge, en el siguiente punto dejo el mapa de red desde el cual partimos.
Mapa de red
Aquí tenemos el mapa al cual queremos llegar en un primer momento, en el se puede observar que tendremos un L2 Bridge que nos unira el segmento de red 192.168.14.0/26 del mundo fisico, situada en la VLAN 145 con el segmento de NSX-T «Bridge Segment».
Configuracion
Antes de comenzar a configurar nada, comentar que en mi caso vamos a partir del supuesto numero 1. En este supuesto tenemos maquinas virtuales que estan haciendo uso de VLAN fisicas, y queremos migrar todos nuestras maquinas virtuales que esten en esa VLAN, a un segmento de red gestionado por NSX-T. Una vez todas las cargas esten en NSX-T, moveremos el L3(Gateway) a nuestro Tier-1.
Como podemos ver en las siguientes 2 imágenes, tenemos una maquina en la que hemos denominado «Bridge-Segment_VM», y otra maquinas en la «Bridge_VLAN_VM».
Ambas maquinas tienen el direccionamiento 192.168.14.0/26, pero la diferencia es que una de ella esta bajo un segmento de NSX-T, y la otra esta bajo una VLAN(195). Además hay que comentar que el L3(Gateway) de la red esta bajo un router físico.
Aquí tenemos la maquina que esta bajo el segmento de NSX-T, esta tiene la dirección IP 192.168.14.3
Aquí tenemos la maquina que esta bajo una VLAN física, esta tiene la dirección IP 192.168.14.2
Ahora si vamos a empezar a realizar la configuración, una vez este terminada ambas maquinas podrán hablarse entre si gracias a la tecnología del «L2 Bridge».
1º Crear «Trunk Portgroup en vSphere»
Empezamos creando el puerto «trunk» con las VLANs que queremos extender.
En mi caso solo quiero extender la VLAN 195 como se podrá ver en la siguiente imagen.
Asignaremos un «Teaming policiy» de tipo «Explicit failover order» siendo el Uplink-2 la activa, y el Uplink-1 el pasivo.
Esta es una de las cosas mas importantes, debemos poner en «Accept», tanto el «Promiscuos mode» como el «Forget transmits».
2º Activar «Reverse Path Filter» en EL host ESXI
En el clúster donde residan los Edge Nodes, debemos de lanzar el siguiente comando
# esxcli system settings advanced set -o /Net/ReversePathFwdCheckPromisc -i 1
3º Crear la zona de transporte para los Bridges
Para crear la zona de transporte nos iremos a System–> Configuration–> Transport Zones, y pulsaremos «Add zones«.
Esta zona será del tipo VLAN, después la asignaremos a nuestros Edges Nodes.
4º Asociar a los Edges Nodes la zona de transporte Bridge
En mi caso no voy a usar Edges Node específicos para Bridge, para ello usare los que vengo usando con anterioridad.
Para asociar la zona de transporte de bridges a nuestros Edge Nodes, editaremos las propiedades del Edge Node en System > Configuration > Fabric > Nodes > Edge Transport Nodes.
Ahora añadiremos un nuevo switch, le asignamos la zona de transporte que hemos creado anteriormente, además de un «Uplink Profile«, y por ultimo seleccionaremos el portgroup trunk que hemos creado anteriormente.
5º Crear el «Edge Bridge Profile»
El «Edge Bridge Profile» es el elemento de configuración que vincula el «Edge Bridge» con los segmentos Overlay que participarán en el «Bridging».
Para crear el «Edge Bridge Profile», nos vamos a Networking > Connectivity > Segments > Edge Bridge Profiles y pulsamos en » Add Edge Bridge Profile»
Asignaremos un nombre, seleccionaremos el clúster, además del nodo primario, y el de Backup. En mi caso seleccionar la opción «Preemptive».
6º Crear el segmento de NSX para el «Bridging»
Creamos el nuevo segmento, pero no le asignamos ningún direccionamiento, ni lo asociaremos a ningún Tier-1. Una vez tengamos todo asignado, pulsamos en «Save».
Ahora volvemos a editarlo, y pulsamos sobre «Set» alrededor de «Edges Bridges».
Pulsamos sobre «Add Edge Bridge«, seleccionaremos el «Edge Bridge Profile» que creamos anteriormente, la zona de transporte de Bridge, y por ultimo cual va a ser la VLAN contra la cual realizaremos el «Mapping».
Ya estaría todo configurado, ha llegado de hacer la pruebas.
Testing
Lanzamos un ping desde la maquina que esta en la VLAN(Bridge-VLAN_VM) hacia, la maquina que esta en el segmento(Bridge-Segment_VM) y vemos que responde perfectamente.
También observamos como responde el GW.
Si lanzamos la prueba al revés, vemos que ambos pruebas funcionan también sin problemas
En esta imagen podemos observar que la red 192.168.14.0/26 la conocemos desde nuestros routers físicos.
Cambio del L3
Ha llegado el momento de mover el L3(Gateway) desde el router físico a nuestro Tier-1. Esto se suele hacer una vez todas las cargas que están en la VLAN física han sido movidas al segmento de NSX.
Para hacer este cambio nos vamos al segmento, y le asignamos el Tier-1, además de asignarle direccionamiento IP.
PD: Antes de hacer este paso es importante haber quitado el L3 del router físico.
Ahora podemos observar desde el Tier-0, como ahora la red la recibimos desde el Tier-1.
Si volvemos a realizar prueba desde la maquina «Bridge-Segment_VM» vemos como seguimos llegando tanto al GW como a la maquina «Bridge_VLAN_VM»
Ahora ha llegado el momento de cambiar el portgroup de la VM «Bridge_VLAN_VM», pasaremos de la VLAN física al segmento de NSX.
En este caso elegimos el segmento «Bridge Segment»
Como vemos el cambio ha sido segun lo esperado, seguimos llegando a la maquina «Bridge_Segment_VM»
además de llegar a internet sin problemas.
Topología de red final
De esta manera seria nuestra topología final, en la cual habríamos migrado tanto el L3(Gateway) al Tier-1, como todas las maquinas virtuales al segmento de red «Bridge Segment». De esta manera ya podríamos desmontar nuestro L2 Bridge.
Conclusión
Hasta aquí hemos llegado un día mas, como veis tenemos diferentes caso de uso para extender nuestros L2 según lo que nos convenga. Como recomendación final, recordar que tiene una finalidad, que la mayoría de casos es una migración, por ello cuanto antes migremos las maquinas virtuales de ese segmento de red mejor, un problema futuro que nos podremos evitar por cuellos de botella, caídas, etc.