Permitir y bloquear el tráfico de máquina virtual mediante las ACL del puerto de SDN

Importante

Esta versión de Virtual Machine Manager (VMM) ha llegado al final del soporte técnico. Se recomienda actualizar a VMM 2022.

En System Center Virtual Machine Manager (VMM), puede configurar y administrar de manera centralizada las listas de control de acceso (ACL) del puerto de redes definidas por software (SDN).

• Una ACL del puerto es un conjunto de reglas de ACL que filtran el tráfico en el nivel de puerto de capa 2.
• Una ACL del puerto en VMM filtra el acceso a un determinado objeto de red de VMM.
• Cada objeto de red de VMM no puede tener más de una ACL del puerto conectada.
• Una ACL contiene reglas y se puede asociar a cualquier número de objetos de red VMM. Puede crear una ACL sin reglas y agregar las reglas posteriormente.
• Si una ACL tiene varias reglas, se aplican en función de la prioridad. Después de que una regla coincida con los criterios y se aplique, no se procesa ninguna otra.
• Las ACL del puerto de SDN se pueden aplicar a subredes virtuales y adaptadores de red virtual.

Nota

La configuración de ACL de puerto solo se expone a través de cmdlets de PowerShell en VMM y no se puede configurar en la consola VMM.

Con PowerShell para VMM también puede configurar las ACL del puerto de Hyper-V. Para obtener más información, consulte ACL de puerto de Hyper-V.

En este artículo se proporciona información sobre cómo crear y administrar ACL de puerto SDN mediante los cmdlets de PowerShell de VMM.

Antes de comenzar

Asegúrese de que la controladora de red de SDN está implementada.

Crear una ACL del puerto

1. Abra PowerShell en VMM.

2. Cree una ACL del puerto.

   PS C:\> New-SCPortACL -Name "RDPAccess" -Description "PortACL to control RDP access" -ManagedByNC
   

   Nota

   El parámetro -ManagedByNC garantiza que la ACL del puerto está administrada por la controladora de red (NC) y solo puede adjuntarse a objetos administrados por la controladora de red. Los cmdlets que se proporcionan aquí usan valores de ejemplo.

Crear una regla de ACL del puerto

1. Obtenga una ACL del puerto existente.

   PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess"
   

2. Cree una regla de ACL del puerto.

   PS C:\> New-SCPortACLRule -Name "AllowRDPAccess" -PortACL $portACL -Description "Allow RDP Rule from a subnet" -Action Allow -Type Inbound -Priority 110 -Protocol Tcp -LocalPortRange 3389 -RemoteAddressPrefix 10.184.20.0/24
   

   Nota

   • Intervalo de prioridad para las reglas de ACL del puerto de SDN: 1 – 64500.
   • Solo se admiten los parámetros de los protocolos TCP/UDP/Any para la creación de reglas de ACL.

Adjuntar una ACL a un adaptador de red virtual

1. Obtenga el adaptador de red virtual.

   PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM”
   PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm"
   

2. Adjunte una ACL del puerto existente al adaptador de red virtual.

   PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess"
   PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -PortACL $portACL
   

   Nota

   También puede adjuntar una ACL del puerto al crear el adaptador de red virtual a través del cmdlet New-SCVirtualNetworkAdapter. Más información.

Desasociar una ACL del puerto de un adaptador de red virtual

1. Obtenga el adaptador de red virtual que quiere desasociar de la ACL del puerto.

   PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM”
   PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm
   

2. Desasocie la ACL del puerto del adaptador de red virtual.

   PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -RemovePortACL
   

Adjuntar una ACL a una subred de máquina virtual

1. Obtenga la subred de máquina virtual que se va a adjuntar a la ACL.

   PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”
   

2. Adjunte un ACL del puerto existente a la subred de máquina virtual.

   PS C:\> Set-SCVMSubnet -VMSubnet $vmSubnet -PortACL $portACL
   

   Nota

   También puede adjuntar una ACL del puerto durante la creación de la subred de máquina virtual a través del cmdlet New-SCVMSubnet. Más información.

Desasociar una ACL del puerto de una subred de máquina virtual

1. Obtenga la subred de máquina virtual que quiere desasociar de la ACL del puerto.

   PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”
   

2. Desasociar la ACL del puerto de la subred de máquina virtual.

   PS C:\> Set-SCVMSubnet –VMSubnet $vmSubnet -RemovePortACL
   

Quitar una regla de ACL del puerto

1. Obtenga la regla de ACL de puerto que desea quitar.

   PS C:\> $portACLRule = Get-SCPortACLRule –Name “AllowRDPAccess”
   

2. Quite la regla de ACL del puerto.

   PS C:\> Remove-SCPortACLRule -PortACLRule $portACLRule
   

Quitar una ACL del puerto

1. Obtenga la ACL de puerto que desea quitar.

   PS C:\> $portACL = Get-SCPortACL -Name “RDPAccess”
   

2. Quite la ACL del puerto.

   PS C:\> Remove-SCPortACL -PortACL $portACL