Permitir y bloquear el tráfico de máquina virtual mediante las ACL del puerto de SDNAllow and block VM traffic using SDN port ACLs

En System Center Virtual Machine Manager (VMM), puede configurar y administrar de manera centralizada las listas de control de acceso (ACL) del puerto de redes definidas por software (SDN).In System Center Virtual Machine Manager (VMM), you can centrally configure and manage software defined network (SDN) port access control lists (ACLs).

  • Una ACL del puerto es un conjunto de reglas de ACL que filtran el tráfico en el nivel de puerto de capa 2.A port ACL is a set of port ACL rules that filter the traffic at layer 2 port level.
  • Una ACL del puerto en VMM filtra el acceso a un determinado objeto de red de VMM.A port ACL in VMM filters access to a specific VMM network object.
  • Cada objeto de red de VMM no puede tener más de una ACL del puerto conectada.Each VMM network object can have only one port ACL attached.
  • Una ACL contiene reglas y se puede adjuntar a cualquier número de objetos de red de VMM.An ACL contains rules, and can be attached to any number of VMM network objects. Puede crear una ACL sin reglas y agregar las reglas posteriormente.You can create an ACL without rules, and add the rules later.
  • Si una ACL tiene varias reglas, estas se aplican en función de la prioridad.If an ACL has multiple rules, they are applied based on the priority. Después de que una regla coincida con los criterios y se aplique, no se procesa ninguna otra.After a rule matches the criteria and is applied, no other rules are processed.
  • Las ACL del puerto de SDN se pueden aplicar a subredes virtuales y adaptadores de red virtual.SDN Port ACLs can be applied to virtual subnets and virtual network adapters.

Nota

La configuración de ACL de puerto solo se expone a través de los cmdlets de PowerShell en VMM y no se puede configurar en la consola VMM.Port ACL settings are exposed only through PowerShell cmdlets in VMM, and can't be configured in the VMM console.

Con PowerShell para VMM también puede configurar las ACL del puerto de Hyper-V.Using VMM PowerShell, you can also configure Hyper-V port ACLs. Para más información, vea ACL del puerto de Hyper-v.For more information, see Hyper-v port ACLs.

En este artículo se proporciona información sobre cómo crear y administrar las ACL del puerto de SDN mediante los cmdlets de PowerShell para VMM.This article provides information about how to create and manage SDN port ACLs by using the VMM PowerShell cmdlets.

Antes de empezarBefore you start

Asegúrese de que la controladora de red de SDN está implementada.Ensure that SDN network controller is deployed.

Crear una ACL del puertoCreate a port ACL

  1. Abra PowerShell en VMM.Open PowerShell in VMM.
  2. Cree una ACL del puerto.Create a port ACL.

    PS C:\> New-SCPortACL -Name "RDPAccess" -Description "PortACL to control RDP access" -ManagedByNC
    

    Nota

    El parámetro -ManagedByNC garantiza que la ACL del puerto está administrada por la controladora de red (NC) y solo puede adjuntarse a objetos administrados por la controladora de red.The parameter -ManagedByNC ensures that the port ACL is managed by Network Controller (NC) and can only be attached to NC managed objects. Los cmdlets que se proporcionan aquí usan valores de ejemplo.The cmdlets provided here use example values.

Crear una regla de ACL del puertoCreate a port ACL rule

  1. Obtenga una ACL del puerto existente.Get an existing port ACL.

    PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess"
    
  2. Cree una regla de ACL del puerto.Create a port ACL rule.

    PS C:\> New-SCPortACLRule -Name "AllowRDPAccess" -PortACL $portACL -Description "Allow RDP Rule from a subnet" -Action Allow -Type Inbound -Priority 110 -Protocol Tcp -LocalPortRange 3389 -RemoteAddressPrefix 10.184.20.0/24
    

    Nota

    • Intervalo de prioridad para las reglas de ACL del puerto de SDN: 1 – 64500.Priority range for SDN port ACL rules: 1 – 64500.
    • Solo se admiten los parámetros de los protocolos TCP/UDP/Any para la creación de reglas de ACL.Only TCP/UDP/Any protocol parameters are supported for creating ACL rules.

Adjuntar una ACL a un adaptador de red virtualAttach an ACL to a virtual network adapter

  1. Obtenga el adaptador de red virtual.Get the virtual network adapter.

    PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM”
    PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm"
    
  2. Adjunte una ACL del puerto existente al adaptador de red virtual.Attach an existing port ACL to the virtual network adapter.

    PS C:\> $portACL = Get-SCPortACL -Name "RDPAccess"
    PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -PortACL $portACL
    

    Nota

    También puede adjuntar una ACL del puerto al crear el adaptador de red virtual a través del cmdlet New-SCVirtualNetworkAdapter.You can also attach a port ACL while creating the virtual network adapter through New-SCVirtualNetworkAdapter cmdlet. Obtenga más información.Learn more.

Desasociar una ACL del puerto de un adaptador de red virtualDetach a port ACL from a virtual network adapter

  1. Obtenga el adaptador de red virtual que quiere desasociar de la ACL del puerto.Get the virtual network adapter that you want to detach the port ACL from.

    PS C:\> $vm = Get-SCVirtualMachine -Name “TenantVM”
    PS C:\> $adapter = Get-SCvirtualNetworkAdapter -VM $vm
    
  2. Desasocie la ACL del puerto del adaptador de red virtual.Detach the port ACL from the virtual network adapter.

    PS C:\> Set-SCVirtualNetworkAdapter -VirtualNetworkAdapter $adapter -RemovePortACL
    

Adjuntar una ACL a una subred de máquina virtualAttach an ACL to a VM subnet

  1. Obtenga la subred de máquina virtual que se va a adjuntar a la ACL.Get the VM subnet to attach the ACL.

    PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”
    
  2. Adjunte un ACL del puerto existente a la subred de máquina virtual.Attach an existing port ACL to the VM subnet.

    PS C:\> Set-SCVMSubnet -VMSubnet $vmSubnet -PortACL $portACL
    

    Nota

    También puede adjuntar una ACL del puerto durante la creación de la subred de máquina virtual a través del cmdlet New-SCVMSubnet.You can also attach a port ACL while creating VM subnet through New-SCVMSubnet cmdlet. Obtenga más información.Learn more.

Desasociar una ACL del puerto de una subred de máquina virtualDetach a port ACL from a VM subnet

  1. Obtenga la subred de máquina virtual que quiere desasociar de la ACL del puerto.Get the VM subnet that you want to detach the port ACL from.

    PS C:\> $vmSubnet = Get-SCVMSubnet -Name “Tenant Subnet”
    
  2. Desasociar la ACL del puerto de la subred de máquina virtual.Detach the port ACL from the VM subnet.

    PS C:\> Set-SCVMSubnet –VMSubnet $vmSubnet -RemovePortACL
    

Quitar una regla de ACL del puertoRemove a port ACL rule

  1. Obtenga la regla de ACL del puerto que se va a quitar.Get the port ACL rule to remove.

    PS C:\> $portACLRule = Get-SCPortACLRule –Name “AllowRDPAccess”
    
  2. Quite la regla de ACL del puerto.Remove the port ACL rule.

    PS C:\> Remove-SCPortACLRule -PortACLRule $portACLRule
    

Quitar una ACL del puertoRemove a port ACL

  1. Obtenga la ACL del puerto que quiere quitar.Get the Port ACL that you want to remove.

    PS C:\> $portACL = Get-SCPortACL -Name “RDPAccess”
    
  2. Quite la ACL del puerto.Remove the port ACL.

    PS C:\> Remove-SCPortACL -PortACL $portACL