1. Se asume familiaridad con el entorno de VMware NSX, vSphere y edición de textos en GNU/Linux
1. Acceder a VMware hol: labs.hol.vmware.com
* Si no tiene cuenta, debe crear una, es gratis.
* Si ya tiene cuenta, vaya a "All Labs" y coloque 1725 en la barra de búsqueda.
* Enroll y luego Start para dar inicio al laboratorio
* NOTA: en la parte superior derecha hay un botón de "Extend" que permite usar el lab por más de los 90 minutos iniciales.
2. Digrama que vamos a utilizar
VM_A-----LS_A-----EdgeA---------LS_Internet-------EdgeB-------------VM_B
IPs:
VM_A: 172.1.1.10/24
EdgeA IP Interna: 172.1.1.1/24
EdgeA IP Uplink: 15.15.15.1/24
EdgeB IP Uplink: 15.15.15.2/24
EdgeB IP Interna: 172.2.2.1/24
VM_B: 172.2.2.10
3. Preparar Infraestructura:
3.1 Clonar dos veces la VM llamada web-01a.corp.local, la primeva VM se va a llamar VM_A, la segunda VM_B.
3.2 Crear los switches lógicos: LS_1, LS_2 y LS_Internet (LS = Logical Switch)
3.3 Conectar las interfaces LAN de VM_A al LS_1 y la de VM_B al LS_2
3.4 Encender VM_A y VM_B
3.5 - Cambiar la IP de VM_A:
- Acceder a la consola de VM_A
- Ejecutar el comando "ip a", para detectar el nombre de la interface de red, en mi caso aparece la loopback y eth1. NOTA: Abra un notepad y tome nota de la MAC asociada a eth1
- Configurar la IP de eth1
* cd /etc/sysconfig/network-scripts
* cp ifcfg-eth0 ifcfg-eth1
* vi ifcfg-eth1
* Dentro de vi, modificar lo que diga eth0 y dejarlo como eth1
* Cambiar la IP a 172.1.1.10 y el Gateway y DNS a 172.1.1.1 (Edge_A Interna)
* Cambiar la MAC para que coincida con el output de "ip a" para eth1
3.6 Cambiar la IP de VM_B: Repetir "3.5" para VM_B, en este caso use las IPs y la MAC correspondientes.
3.7 Crear los Edges:
- Cree el Edge_A con las siguientes especificaciones:
- Habilite SSH, Default Firewall Rule Action: Allow
- Password: VMware1!Vmware1! (el password del edge debe ser de 12 dígitos al menos)
- Interface interna: 172.1.1.1/24, conectada a LS_1
- Interface externa: 15.15.15.1/24 conectada a LS_Internet
- Cree el Edge_B con las siguientes especificaciones:
- Habilite SSH, Default Firewall Rule Action: Allow
- Password: VMware1!Vmware1! (el password del edge debe ser de 12 dígitos al menos)
- Interface interna: 172.2.2.1/24, conectada a LS_1
- Interface externa: 15.15.15.2/24 conectada a LS_Internet
3.8 Configure IPSec VPN en ambos Edges:
- Vaya al Edge / Management / VPN
- Habilite IPSec VPN
- Agregue un nuevo VPN
- Ejemplo de la config del lado A:
* Publique los cambios
- Ejemplo de config del lado B:
* Publique los cambios
4.0 Verifique el status del tunel haciendo click en: "Show IPSec Statistic":
- El status del tunel es "UP":
4. Pruebe la conectividad desde VM_A hasta VM_B, debería funcionar sin problemas.
5. Errores que tuve durante mi lab:
5.1 Para ver los logs del edge pueden ingresar al edge via CLI con el usuario "admin" y el password que configuraron (VMware1!Vmware1! en mi caso). Una vez dentro de la consola, el comando "show log" despliega los logs del Edge, por defecto los logs se leen dentro de un "less" de GNU/linux, por lo que presionando G mayúscula podemos ir al final del archivo de logs.
5.2 NO_PROPOSAL_CHOSEN:
Cuando se habilita el tunel, el primer paso es enviar nuestro security proposal al otro lado, si hay algún parámetro diferente es porque la configuración de alguno de los dos lados tiene algún parámetro distinto. Vea las imágenes del punto 3.9, todo coincide. En mi caso, tenía DH5 del lado A y DH14 del lado B
5.3 INVALID_ID_INFORMATION
Esto sucede porque el "Local ID" del lado A no coincide con el "Peer ID" del lado B o viceversa. Si bien es cierto, en los IDs podemos utilizar lo que queramos, los valores tienen que coincidir a ambos lados del tunel.
Ya que tienen ese lab configurado, perfectamente lo pueden usar para probar OSPF o BGP, sólamente deshabilitan IPSec, configuran su protocolo de enrrutamiento y lo prueban. En mi caso, eso será para otro post.
No hay comentarios:
Publicar un comentario