NSX-T 恢复DFW策略

已于 2022-03-31 12:28:09 修改
阅读量838 收藏
点赞数
分类专栏: NSX-T vSphere 文章标签: 运维 分布式
于 2022-03-31 12:24:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x_idea/article/details/123868671
版权
在集成VC部署NSX-T时误选丢弃策略导致VM流量丢失。恢复步骤包括:通过SSH登录ESXi,查找VCenter的vnic名称,查看并清除应用的DFW规则,使用vsipioctl命令临时移除规则,最后更新NSX-T策略以避免影响。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题:
在集成VC部署NSX-T 的时间发部策略时选择了“丢弃”,由于考虑不周,没有VC和NSX-T 也在集群里面,导致所有VM 流量都丢弃了。
在这里插入图片描述

恢复流程:
1.登录esxi主机打开ssh
2.查找vCenter对应的vnic name
3.根据第2步找到的vnic name,查看vCenter上应用的dfw rules
4.手动创建ruleset覆盖掉NSX-T推送的ruleset。临时将应用到vCenter虚机的dfw rules清除掉,正常登录vCenter

查看VM 分布式虚拟网卡
summarize-dvfilter | grep -A 3 vmm
查看分布式虚拟网卡策略
vsipioctl getrules -f nic-2498471-eth0-vmware-sfw.2
还原分布式虚拟网卡策略
vsipioctl vsipfwcli -Override -f nic-2498471-eth0-vmware-sfw.2 -c “create ruleset mainrs;”
在这里插入图片描述
还原后的策略
在这里插入图片描述
更改NSXT策略后又同步的策略
在这里插入图片描述

最低0.47元/天 解锁文章
68 VMware NSX-T搭建及配置
Jian Sun_的博客
06-05 4224
VMware NSX-T搭建及配置
VMwareNSX部署最佳实践.pdf
06-24
VMwareNSX部署最佳实践
VMWARE NSX-T
07-09
VMware NSX-T Reference Design Guide Table of Contents 1 Introduction 4 1.1 How to Use This Document 4 1.2 Networking and Security Today 5 1.3 NSX-T Architecture Value and Scope 5 2 NSX-T Architecture Components 11 2.1 Management Plane 11 2.2 Control Plane 12 2.3 Data Plane 12 3 NSX-T Logical Switching 13 3.1 The N-VDS 13 3.1.1 Uplink vs. pNIC 13 3.1.2 Teaming Policy 14 3.1.3 Uplink Profile 14 3.1.4 Transport Zones, Host Switch Name 16 3.2 Logical Switching 17 3.2.1 Overlay Backed Logical Switches 17 3.2.2 Flooded Traffic 18 3.2.2.1 Head-End Replication Mode 19 3.2.2.2 Two-tier Hierarchical Mode 19 3.2.3 Unicast Traffic 21 3.2.4 Data Plane Learning 22 3.2.5 Tables Maintained by the NSX-T Controller 23 3.2.5.1 MAC Address to TEP Tables 23 3.2.5.2 ARP Tables 23 3.2.6 Overlay Encapsulation 25 4 NSX-T Logical Routing 26 4.1 Logical Router Components 27 4.1.1 Distributed Router (DR) 27 4.1.2 Services Router 32 4.2 Two-Tier Routing 36 VMware NSX-T Reference Design Guide 2 4.2.1 Interface Types on Tier-1 and Tier-0 Logical Routers 37 4.2.2 Route Types on Tier-1 and Tier-0 Logical Routers 38 4.2.3 Fully Distributed Two Tier Routing 39 4.3 Edge Node 41 4.3.1 Bare Metal Edge 42 4.3.2 VM Form Factor 46 4.3.3 Edge Cluster 48 4.4 Routing Capabilities 49 4.4.1 Static Routing 49 4.4.2 Dynamic Routing 50 4.5 Services High Availability 53 4.5.1 Active/Active 53 4.5.2 Active/Standby 54 4.6 Other Network Services 56 4.6.1 Network Address Translation 56 4.6.2 DHCP Services 56 4.6.3 Metadata Proxy Service 57 4.6.4 Edge Firewall Service 57 4.7 Topology Consideration 57 4.7.1 Supported Topologies 57 4.7.2 Unsupported Topologies 59 5 NSX-T Security 60 5.1 NSX-T Security Use Cases 60 5.2 NSX-T DFW Architecture and Components 62 5.2.1 Management Plane 62 5.2.2 Control Plane 62 5.2.3 Data Plane 63 5.3 NSX-T Data Plane Implementation - ESXi vs. KVM Hosts 63 5.3.1 ESXi Hosts- Data Plane Components 64 5.3.2 KVM Hosts- Data Plane Components 64 5.3.3 NSX-T DFW Policy Lookup and Pa
重置NSX防火墙策略
weixin_30746117的博客
07-10 488
1、在 DFW 中创建全部拒绝规则后 vCenter Server 访问遭到阻止   官方KB:https://kb.vmware.com/s/article/2079620?lang=zh_CN 2、解决办法   工具:Postman   下载地址:https://dl.pstmn.io/download/latest/win64 3、步骤  1)认证    2)Header ...
NSX-T架构(2)
weixin_43394724的博客
05-13 2226
上回说到NSX-T manager的安装,成功导入ova文件以后,我们在vCenter上面可以看到NSX manager的虚机。 开机后,使用https://ip便可以登录到管理界面了。 查看Manager实例 导航到System–>Appliance,可以看到现在运行的控制节点实例,系统建议使用三台实例做成集群,实验中,我们只使用一台。 云网解耦物理网 先不急着往下,我们看看在基于软件的SDN最初是要解决什么问题,下图是在很多企业至今使用的架构 物理服务器已经虚拟化,企业大量使用虚机。为了解决
VMware NSX-网络虚拟化(随笔)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-25 8851
第一节:基础 传统的数据中心是用物理网络,提前规划好不同的业务往来,通过接不同的设备,或同一交换机上不同端口,利用vlanid来隔离,划分来区分不同的业务系统。这种模式,不但安装管理复杂,万一遇上管理人员流失,文档缺失,那就是巨大的坑。另外,随着,新技术和网络面临的挑战,设备更新换代,成本也是一大需要企业不得不面对的重要挑战。 针对物理物理的限制和笨重,出现了SDN的概念,即通过软件技术来逻辑实现...
NSX-V 安全之逻辑防火墙总结
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-25 1790
一、概述 传统的防火墙一般都是放在数据中心的出口处,控制数据中心对外的网络通信。边界防火墙(Perimeter Firewall)虽然能够很好地控制来自于外部的攻击风险,但是对于数据中心内部的黑客攻击却没有任何的防范措施。因此很多企业都采用零信任(Zero Trust)机制,假设安全威协无处不在,即使是在数据中心内部;企业自己的员工也是不可信任的,要尽量限制每个人需要访问的系统和数据。 要为每个系统都配上防火墙,但是这样做成本很高,而软件形式的分布式防火墙可降低成本实现上述需求,同时也有助于提高东西向流量的
VMware NSX-T性能调优】:提升网络性能的最佳实践,优化网络环境
![【VMware NSX-T性能调优】:提升网络性能的最佳实践...本文首先介绍了VMware NSX-T的基础知识和网络基础,然后深入探讨了网络性能评估的各个方面,包括性能指标的定义、性能测试工具、现有网络环境分析及常见性能瓶颈
VMware网络虚拟化】:NSX-T演变及管理的终极指南
[【VMware网络虚拟化】:NSX-T演变及管理的终极指南](https://www.nakivo.com/blog/wp-content/uploads/2019/05/NSX-v-vs-NSX-T-architecture-a-simplified-diagram.webp) # 1. VMware网络虚拟化的概述 在信息技术...
VMware NSX-T故障排查手册】:快速定位和解决问题,确保网络稳定性
![【VMware NSX-T故障排查手册】:快速定位和解决问题,确保网络稳定性]...本文系统地介绍了VMware NSX-T的基础
多云环境网络与安全建设:VMware NSX-T实战攻略
![VMware的虚拟网络与安全策略](https://img-blog.csdnimg.cn/e25900a93fbe4f55bff31ed290869dfe.png) ...网络的隔离性、数据传输的安全性以及跨云服务的互操作性等问题,都需要通过全新的安全策略
NSX分布式防火墙是如何工作的?
荒野求生的博客
01-29 2638
今天我们来聊一聊VMware NSX分布式防火墙DFW,本文提及的NSX,均指NSX for vSphere,即NSX-V,有关NSX-T的讨论,将在后续推出。 了解过NSX的朋友一定很清楚,NSX的管理平面、控制平面和转发平面是相互独立分离的。对于管理平面,大家比较熟悉的是vCenter和NSX Manager;对于vsfwd,可能就比较陌生。那么,这是个什么组件?与我们讨论的NSX分布式防...
NSX-T 系列:第 13部分 - 配置东西向分布式防火墙
weixin_33669839的博客
09-01 4591
1、配置东西向安全策略 ①导航到【安全】,在东西向安全菜单下,点击【分布式防火墙】,在右侧点击添加策略 ②根据需要,修改【策略名称】,点击策略名称左侧的三个点,在下拉菜单选择【添加规则】 ③修改规则名称,在服务下点击【任意】 ④点击【添加服务】,输入服务的名称,点击设置服务条目 ⑤根据需要,添加条目,选择要禁用的协议和端口,点击应用 ⑥查看添加的服务和条目信息,点击应用 ⑦将该规则的操作更改为【拒绝】,启用规则,点击右上角的【发布】 ⑧测试规则 找台同网段的机器..
202107 VMware NSX-T培训笔记4(IOchain与分布式防火墙)
oasisss的博客
07-11 789
VM与NSX-T之间存在一台隐藏的IO链条,该链条上有16个slot,分别为slot0-slot15,这些slot为安全等需求所预留,其中Slot 0-3,Slot 12-15为VMware自留,其它用于连接合作伙伴方案;其中Slot2就是分布式防火墙,类似主机防火墙,在每个虚拟机生效。 ...
NSX-T 系列:第 20部分 - 配置分布式IPS/IDS服务
weixin_33669839的博客
10-14 1728
1、概述 分布式入侵检测和防御服务 (Distributed Intrusion Detection and Prevention Service, IDS/IPS) 监控主机上的网络流量是否存在可疑活动。 可以根据严重性启用特征码。严重性评分越高,表示与入侵事件相关的风险越大。严重性取决于以下内容: 特征码本身中指定的严重性 特征码中指定的 CVSS(通用漏洞评分系统)评分 与分类类型关联的类型评级 IDS 根据已知的恶意指令序列检测入侵尝试。在 IDS 中检测到的模式称为特征码。...
在 VDS/VSS 和 NSX-T 虚拟交换机之间执行 vMotion-转官方文档
seaship的博客
09-24 739
要求 从 NSX-T 3.0 开始,NSX-T 虚拟交换机可以是 N-VDS 或为 NSX 准备的 VDS。 以下矩阵适用于这两种 NSX-T 虚拟交换机型号。 下表列出了受支持的 vMotion 功能版本。 vMotion vSphere(vCenter Server 和 ESXi) NSX-T版本 源 目标 VDS DVPG(无 NSXNSX-T
VMware NSX词汇表
荒野求生的博客
07-25 762
BUM流量- 广播,未知单播和多播 DFW- NSX分布式防火墙 DLR- 分布式逻辑路由器 ECMP- 等成本多路径 ESG- Edge服务网关 IPFIX- Internet协议流信息导出 LIF- 逻辑接口 MTEP- 组播隧道端点 UDLR- 通用分布式逻辑路由器 ULS- 通用逻辑交换机 UTEP- 单播隧道端点 UTZ- 通用运输区 VT...
VMware NSX原理与实践----NSX防火墙详解(一)
Gao068465的博客
01-12 6881
接着说一说NSX防火墙是如何实现数据中心的防护,大家知道,一名黑客要想获得数据,就要通过Internet 访问到Web服务器,继而攻破App服务器等一系列节点,最后才能访问到数据库服务器。要注意到的是从Web服务器到App服务器再到数据库服务器都是数据中心内的东西向流量,这时候数据中心边界的物理防火墙则是没有了防护意义。由此可见光靠部署边界安全的策略已经被证实了不够完善。
VMware NSX-T部署配置完全指南
通过遵循本手册的指导,用户可以全面了解并掌握VMware NSX-T的部署配置流程,从而在数据中心或云环境中实现虚拟网络和安全策略的自动化和集中化管理。这包括了从网络层到安全层的全栈虚拟化,为组织提供了一个强大的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值