1. Introducción
Descripción general
En este lab, los usuarios explorarán cómo Network Connectivity Center (NCC) utiliza la puerta de enlace de NCC para establecer una conectividad segura. Los usuarios implementarán Secure Access Connect para integrar productos externos de Security Service Edge (SSE), lo que permitirá una inspección y protección sólidas de los flujos de tráfico. Esta configuración simplifica la administración de la red, ya que ofrece un modelo centralizado basado en la puerta de enlace para proteger el tráfico que ingresa y sale de los entornos de Google Cloud.
Qué compilarás
En este codelab, crearás una topología lógica de concentrador y radio con el concentrador de NCC que implementará una estructura de conectividad de VPC de malla completa en tres VPC distintas.
Qué aprenderás
- Topología de inspección híbrida
- Puerta de enlace de NCC
- Secure Access Connect
- SSE de Palo Alto Networks
Requisitos
- Conocimiento de la red de VPC de GCP
- Conocimiento de Cloud Router y del enrutamiento de BGP
- Este codelab requiere 5 VPC. Una de esas VPC debe residir en un proyecto independiente del concentrador de NCC.
- Verifica tu cuota:redes y solicita redes adicionales si es necesario, como se muestra en la siguiente captura de pantalla:
Objetivos
- Configura el entorno de GCP
- Configura Network Connectivity Center para la inspección híbrida
- Aprovisiona Palo Alto Network Stratacloud Manager para SSE
- Validar la ruta de datos
- Explora las funciones de capacidad de servicio de NCC
- Limpia los recursos utilizados
Antes de comenzar
Consola de Google Cloud y Cloud Shell
Para interactuar con GCP, usaremos la consola de Google Cloud y Cloud Shell a lo largo de este lab.
Proyecto del concentrador de NCC en la consola de Google Cloud
Puedes acceder a la consola de Cloud en https://console.cloud.google.com.
Configura los siguientes elementos en Google Cloud para facilitar la configuración de Network Connectivity Center:
En la página del selector de proyectos de Google Cloud Console, selecciona o crea un proyecto de Google Cloud.
Nota: Si no planeas conservar los recursos que creaste durante este procedimiento, crea un proyecto en lugar de seleccionar uno existente. Cuando termines, puedes borrar el proyecto y quitar todos los recursos asociados con él.
Inicia Cloud Shell. En este codelab, se usan variables para facilitar la implementación de la configuración de gcloud en Cloud Shell.
gcloud auth list
gcloud config list project
gcloud config set project [HUB-PROJECT-ID]
projectname=[HUB-PROJECT-ID]
echo $projectname
gcloud config set compute/zone us-central1-a
gcloud config set compute/region us-central1
Funciones de IAM
El NCC requiere roles de IAM para acceder a APIs específicas. Asegúrate de configurar tu usuario con los roles de IAM de NCC según sea necesario.
Rol/Descripción | Permisos |
| networkconnectivity.hubs.networkconnectivity.spokes.networkconnectivity.gatewaynetworkconnectivity.locations. |
| networkconnectivity.gatewayAdvertisedRoutes.networkconnectivity.groups. networkconnectivity.hubRouteTables.networkconnectivity.hubRoutes.networkconnectivity.hubs. networkconnectivity.locations. networkconnectivity.operations.* networkconnectivity.spokes.*resourcemanager.projects.getresourcemanager.projects.list |
| networkconnectivity.gatewayAdvertisedRoutes.getnetworkconnectivity.gatewayAdvertisedRoutes.listnetworkconnectivity.groups.getnetworkconnectivity.groups.getIamPolicynetworkconnectivity.groups.listnetworkconnectivity.hubRouteTables.getnetworkconnectivity.hubRouteTables.getIamPolicynetworkconnectivity.hubRouteTables.listnetworkconnectivity.hubRoutes.getnetworkconnectivity.hubRoutes.getIamPolicynetworkconnectivity.hubRoutes.listnetworkconnectivity.hubs.getnetworkconnectivity.hubs.getIamPolicynetworkconnectivity.hubs.listnetworkconnectivity.hubs.listSpokesnetworkconnectivity.hubs.queryStatus networkconnectivity.locations.*networkconnectivity.spokes.getnetworkconnectivity.spokes.getIamPolicynetworkconnectivity.spokes.listresourcemanager.projects.getresourcemanager.projects.list |
2. Configura el entorno de red
En esta sección, implementaremos las redes de VPC y las reglas de firewall en un solo proyecto. En el diagrama lógico, se ilustra el entorno de red que se configurará en este paso.
Crea las VPC y las subredes
La red de VPC contiene subredes en las que instalarás la VM de GCE para la validación de la ruta de datos.
gcloud compute networks create vpc1-ncc --subnet-mode custom
gcloud compute networks create vpc2-ncc --subnet-mode custom
gcloud compute networks create vpc3-ncc --subnet-mode custom
gcloud compute networks subnets create vpc1-ncc-subnet1 \
--network vpc1-ncc \
--range 10.1.1.0/24 \
--region us-central1
gcloud compute networks subnets create vpc2-ncc-subnet1 \
--network vpc2-ncc \
--range 10.1.2.0/24 \
--region us-central1
gcloud compute networks subnets create vpc3-ncc-subnet1 \
--network vpc3-ncc \
--range 10.1.3.0/24 \
--region us-central1
Configura reglas de firewall de VPC
Configura reglas de firewall en cada VPC para permitir lo siguiente:
- SSH
- IAP interno
- Rango 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-internal \
--network vpc1-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc2-vpc-internal \
--network vpc2-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc3-vpc-internal \
--network vpc3-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-iap \
--network vpc1-ncc \
--allow all \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc2-vpc-iap \
--network vpc2-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc3-vpc-iap \
--network vpc3-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
Configura una VM de GCE en cada VPC
Necesitarás acceso temporal a Internet para instalar paquetes en "vm1-vpc1-ncc".
Crea cuatro máquinas virtuales. Cada una se asignará a una de las VPC creadas anteriormente.
gcloud compute instances create vm1-vpc1-ncc \
--subnet vpc1-ncc-subnet1 \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc1-vm1</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc2-ncc \
--zone us-central1-a \
--subnet vpc2-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc2-vm2</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc3-ncc \
--zone us-central1-a \
--subnet vpc3-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc3-vm3</h3>" | tee /var/www/html/index.html'
3. Topología de inspección híbrida del NCC
En esta sección, implementaremos el concentrador de Network Connectivity Center para la topología de inspección híbrida. La topología de inspección híbrida de NCC implementa políticas de radio de NCC predeterminadas para admitir específicamente la puerta de enlace de NCC. En el diagrama lógico, se ilustra el entorno de red que se configurará en este paso.
Concentrador de NCC para la inspección de radios híbridos
Cuando crees un concentrador de NCC, usa la marca "-preset-topology=hybrid-inspection" para crear cuatro grupos de tipos de radios de NCC. Los cuatro tipos de radios de NCC incluyen los siguientes:
Groups:gateways | Los radios de puerta de enlace actúan como puntos de entrada y salida regionales para los flujos de tráfico que ingresan a Google Cloud desde entornos locales o desde otras nubes. Facilitan la inspección del tráfico a través de servicios de SSE externos, como Palo Alto Networks o Symantec. Nota: Este es el único grupo que puede contener radios de puerta de enlace de NCC en esta topología. |
Groups:services | Este grupo actúa como un "concentrador" para los recursos compartidos; los radios de este grupo tienen conectividad con todos los demás grupos de radios (producción, no producción y puertas de enlace). VPC de servicios compartidos (p.ej., para el registro, la autenticación, la supervisión o las herramientas comunes) |
Grupos:prod | Caso de uso: Asigna VPCs de aplicaciones de producción que contengan cargas de trabajo críticas (VMs, clústeres de GKE). |
Groups:non-prod | Recursos asignados: VPCs de aplicaciones que no son de producción y que se usan para entornos de desarrollo, pruebas o etapa de pruebas. |
Configura el concentrador de NCC para usar la topología predeterminada de inspección híbrida
gcloud beta network-connectivity hubs create cl-hi-hub \ --preset-topology=hybrid-inspection
Ejemplo de resultado:
Create request issued for: [cl-hi-hub]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1759424304217-6402fe4a97da0-5de6
e5a1-2ea2de02] to complete...done.
Created hub [cl-hi-hub].
Usa el comando de gcloud para verificar la tabla de enrutamiento predeterminada del concentrador de NCC:
gcloud network-connectivity hubs describe cl-hi-hub
Ejemplo de resultado:
createTime: '2026-02-18T16:14:45.828597880Z'
exportPsc: false
name: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
policyMode: PRESET
routeTables:
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/gateways
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/non-prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/services
spokeSummary:
state: ACTIVE
uniqueId: c0fbb826-173b-42dd-a5d2-00c2aa66fed8
updateTime: '2026-04-21T19:13:50.269721594Z'
Se pueden agregar radios de NCC a un grupo para aplicar políticas de flujo de tráfico. Un radio de NCC solo puede formar parte de un grupo. En esta versión, una topología predeterminada específica llamada HYBRID-INSPECTION introduce 4 grupos: gateways, prod, non-prod y services.
Todos los recursos de NCC Gateway (incluidas sus conexiones híbridas) forman parte del grupo de puertas de enlace. Los radios del grupo de puertas de enlace podrán comunicarse entre sí, y el tráfico entre las puertas de enlace y otros grupos de radios será apto para la inspección (según la configuración de la política de servicio).
Reglas de conectividad del grupo de radios de NCC
Grupo de fuentes | Puede acceder (permitido) | No se puede acceder (restringido) |
Grupo de servicios | puertas de enlace, prod, non-prod, servicios | Ninguno |
Prod Group | puertas de enlace, servicios y radios de producción | Radios de no producción |
Grupo de no producción | puertas de enlace, servicios y radios que no son de producción | Radios de producción |
Grupo de puertas de enlace | puertas de enlace, servicios, prod, non-prod | Ninguno |
Usa el comando de gcloud para enumerar los grupos preestablecidos en el concentrador de NCC.
gcloud network-connectivity hubs groups list --hub cl-hi-hub --project "${projectname}"
Ejemplo de resultado:
NAME HUB DESCRIPTION
gateways cl-hi-hub
non-prod cl-hi-hub
prod cl-hi-hub
services cl-hi-hub
En la consola web, navega a Conectividad de red > Network Connectivity Center > selecciona "cl-hi-hub" para ver la configuración del concentrador de NCC.
VPC de carga de trabajo 2 como radio en el grupo de NCC:prod
Usa el comando de gcloud para configurar la VPC de carga de trabajo3 como un radio (de carga de trabajo) y asigna el radio al grupo:prod
gcloud network-connectivity spokes linked-vpc-network create vpc2-sp \
--hub=cl-hi-hub \
--description=codelab-vpc2-ncc-spoke \
--vpc-network=vpc2-ncc \
--global \
--group=prod
Resultado de ejemplo
Create request issued for: [vpc2-sp]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1776966793852-650245286757a-766d806c-1bc4fabe] to complete...done.
Created spoke [vpc2-sp].
createTime: '2026-04-23T17:53:14.083783233Z'
description: codelab-vpc2-ncc-spoke
etag: '2'
group: projects/"${projectname}"/locations/global/hubs/cl-hi-hub/groups/prod
hub: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/"${projectname}"/global/networks/vpc-ncc2
name: projects/"${projectname}"/locations/global/spokes/vpc2-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 92972784-e4ed-47e5-be22-08a516a39b0c
updateTime: '2026-04-23T17:53:55.029481722Z'
Usa el comando de gcloud para ver los prefijos en la tabla de enrutamiento "prod" del centro de NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Resultado de ejemplo
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
Configura la VPC de carga de trabajo3 como un radio en el grupo de NCC:non-prod
Usa el comando de gcloud para configurar la VPC de carga de trabajo 3 como un radio (de carga de trabajo) y asigna el radio al grupo:non-prod
gcloud network-connectivity spokes linked-vpc-network create vpc3-sp \
--hub=cl-hi-hub \
--description=codelab-vpc3-ncc-spoke \
--vpc-network=vpc3-ncc \
--global \
--group=non-prod
Resultado de ejemplo
Create request issued for: [vpc3-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778757016454-651c5241b83fe-18b62f78-02d70f9a] to complete...done.
Created spoke [vpc3-sp].
createTime: '2026-05-14T11:10:16.758117151Z'
description: codelab-vpc3-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/non-prod
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc3-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc3-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: efe8cfed-d77f-4636-aaae-898e73897b49
updateTime: '2026-05-14T11:10:52.880508489Z'
Usa el comando de gcloud para ver los prefijos en la tabla de enrutamiento "prod" del centro de NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Resultado de ejemplo
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
Configura la VPC de carga de trabajo 1 como un radio en el grupo de NCC:servicios
Usa el comando de gcloud para configurar la VPC de carga de trabajo 1 como un radio (de carga de trabajo) y asigna el radio al grupo:services
gcloud network-connectivity spokes linked-vpc-network create vpc1-sp \
--hub=cl-hi-hub \
--description=codelab-vpc1-ncc-spoke \
--vpc-network=vpc1-ncc \
--global \
--group=services
Resultado de ejemplo
Create request issued for: [vpc1-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778758397065-651c57665f795-1af6d94f-942c9ebd] to complete...done.
Created spoke [vpc1-sp].
createTime: '2026-05-14T11:33:17.359361160Z'
description: codelab-vpc1-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/services
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc1-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc1-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 82b29a2b-50cb-4557-8b12-3345f5a36ad6
updateTime: '2026-05-14T11:33:55.914406863Z'
Configura el radio de puerta de enlace de NCC para las puertas de enlace de SSE en us-central1
Usa el comando de gcloud para crear un radio de puerta de enlace de NCC en us-central1:
gcloud beta network-connectivity spokes gateways create cl-ncc-gw-usc-sp \
--region=us-central1 \
--hub=cl-hi-hub \
--capacity=1g \
--ip-range-reservations=10.100.0.0/23 \
--group=gateways
Resultado de ejemplo
Create request issued for: [cl-ncc-gw-usc-sp]
Waiting for operation [projects/cloudnet-demo/locations/us-central1/operations/operation-1778758907555-651c594d36fc5-783a8d5d-8d3e341b] to complete...done.
Created spoke [cl-ncc-gw-usc-sp].
createTime: '2026-05-14T11:41:48.066042872Z'
etag: '2'
gateway:
capacity: CAPACITY_1_GBPS
ipRangeReservations:
- ipRange: 10.100.0.0/23
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/gateways
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
name: projects/cloudnet-demo/locations/us-central1/spokes/cl-ncc-gw-usc-sp
spokeType: GATEWAY
state: ACTIVE
uniqueId: ffe8e2b7-c864-4279-9d21-ca72d87083fe
updateTime: '2026-05-14T11:44:08.787947523Z'
Usa el comando de gcloud para enumerar los radios de NCC:
gcloud network-connectivity spokes list
Resultado de ejemplo
NAME: vpc2-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc2-ncc-spoke
NAME: vpc3-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: non-prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc3-ncc-spoke
NAME: vpc1-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: services
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc1-ncc-spoke
NAME: cl-ncc-gw-usc-sp
LOCATION: us-central1
HUB: cl-hi-hub
GROUP: gateways
TYPE:
RESOURCE COUNT: 1
DATA TRANSFER: Off
DESCRIPTION:
Examina los radios de NCC que están configurados en el concentrador de NCC "cl-hi-hub":
Anuncia prefijos de IP desde la puerta de enlace de NCC al concentrador de NCC
Configura la puerta de enlace de NCC para anunciar prefijos específicos a la tabla de rutas del concentrador de NCC.
gcloud beta network-connectivity spokes gateways advertised-routes create example-dot-com \
--ip-range=1.1.1.1/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create google-dot-com \
--ip-range=173.194.204.101/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create branch \
--ip-range=192.168.1.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create prod \
--ip-range=192.168.11.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create non-prod \
--ip-range=192.168.12.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
Usa el comando de gcloud para enumerar las rutas anunciadas que se originan en la zona de la puerta de enlace
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
Ejemplo de resultado:
Examina las rutas anunciadas del radio de puerta de enlace de NCC
En la consola web, navega a Network Connectivity > Network Connectivity Center > Selecciona la pestaña "Radios" y haz clic en "cl-ncc-gw-usc-sp".
4. Conexiones híbridas de Cloud Interconnect
En el momento de la redacción, la puerta de enlace de NCC solo admite interconexiones de Google Cloud. La puerta de enlace de NCC usa una VPC global y Cloud Routers en el proyecto de usuario de Google para finalizar las sesiones de intercambio de tráfico de BGP y de adjuntos de VLAN.
Si bien el diagrama muestra un par de interconexiones de Cloud Interconnect y adjuntos de VLAN conectados lógicamente a una puerta de enlace de NCC, el Cloud Router en una VPC global de un arrendatario administrado por Google son los componentes subyacentes que finalizan los adjuntos de VLAN. En esta sección, configurarás un Cloud Router asociado a la puerta de enlace de NCC para administrar las sesiones de BGP para la conectividad local.
Cloud Router específico de la puerta de enlace de NCC en us-central1
Usa el comando de gcloud para configurar un Cloud Router específicamente para la puerta de enlace de NCC.
gcloud beta compute routers create ncc-gw-usc1-cr \
--ncc-gateway=https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/us-central1/spokes/cl-ncc-gw-usc-sp \
--asn=64666 \
--advertisement-mode=CUSTOM \
--set-advertisement-ranges=10.100.2.0/23 \
--region=us-central1
Ejemplo de resultado:
Creating router [ncc-gw-usc1-cr]...done.
NAME REGION NCC_GATEWAY
ncc-gw-usc1-cr us-central1 cl-ncc-gw-usc-sp
- NCC_GW_NAME: Es el URI completo del radio de puerta de enlace de NCC. El formato del URI sigue este patrón: https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/REGION/spokes/GATEWAY_SPOKE_NAME
- ADVERTISED_IP_RANGES: Son los rangos de IP que se anuncian a las redes locales para atraer tráfico a Google Cloud.
Usa este comando de gcloud para enumerar el router que acabas de crear
gcloud compute routers list --filter="region:(us-central1)"
Ten en cuenta que el Cloud Router no está asociado a una VPC.
NAME REGION NETWORK
ncc-gw-usc1-cr us-central1 N/A
Crea adjuntos de VLAN a partir de una interconexión dedicada de Cloud Interconnect existente que se usará como interfaces en el Cloud Router. En el siguiente ejemplo de configuración, se usa una dirección IP local de vínculo como un rango de subred candidato. Se usará una dirección de host específica de este rango para configurar el peering de BGP.
gcloud compute interconnects attachments dedicated create vl2029-ead1 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone1 \
--router=ncc-gw-usc1-cr \
--vlan=2024 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.222.216/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl2029-ead1].
gcloud compute interconnects attachments dedicated create vl3029-ead2 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone2 \
--router=ncc-gw-usc1-cr \
--vlan=3026 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.220.184/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl3029-ead2].
Configura el Cloud Router de la puerta de enlace de NCC en us-central1 con una interfaz
Usa el comando de gcloud para asociar el adjunto de VLAN creado en us-central al Cloud Router de la puerta de enlace de NCC.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl2029-ead1 \
--interconnect-attachment=vl2029-ead1
Resultado:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr].
Configura el par de BGP para el adjunto de VLAN creado anteriormente.
Usa el siguiente comando de gcloud para activar el intercambio de tráfico de BGP en la interfaz de Cloud Router.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl2029-ead1 \
--interface=if-vl2029-ead1 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Resultado:
Creating peer [bgp-vl2029-ead1] in router [ncc-gw-usc1-cr]...done.
Configura el Cloud Router de la puerta de enlace de NCC en us-central1 con una segunda interfaz de adjunto de VLAN.
Usa el comando de gcloud para agregar el segundo adjunto de VLAN como una interfaz al Cloud Router de la puerta de enlace de NCC
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl3029-ead2 \
--interconnect-attachment=vl3029-ead2
Resultado:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr]
Usa el siguiente comando de gcloud para activar el intercambio de tráfico de BGP en la interfaz de Cloud Router.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl3029-ead2 \
--interface=if-vl3029-ead2 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Verifica el estado del intercambio de tráfico de BGP con el router BGP local
Usa el comando de gcloud para verificar el estado del par de BGP con el router local y ver qué rutas envía el Cloud Router de la puerta de enlace de NCC a la red local.
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1
**
--format="yaml(result.bgpPeerStatus)"
Resultado:
Asegúrate de que el estado de BGP sea "Established".
result:
bgpPeerStatus:
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.111.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.111.217
md5AuthEnabled: false
name: bgp-vl2029-ead1
numLearnedRoutes: 2
peerIpAddress: 169.254.111.218
state: Established
status: UP
uptime: 6 minutes, 27 seconds
uptimeSeconds: '387'
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.112.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.112.217
md5AuthEnabled: false
name: bgp-vl3029-ead2
numLearnedRoutes: 1
peerIpAddress: 169.254.112.218
state: Established
status: UP
uptime: 1 minutes, 35 seconds
uptimeSeconds: '95'
Usa el comando de gcloud para ver qué rutas recibe el Cloud Router de la puerta de enlace de NCC desde la red local:
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1 \
--format="yaml(result.bestRoutes)"
Resultado:
result:
bestRoutes:
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T10:02:44.265-07:00'
destRange: 172.16.0.0/16
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:54:04.340-07:00'
destRange: 3.3.3.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:58:56.189-07:00'
destRange: 4.4.4.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.112.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
Anuncia los prefijos personalizados de GCP a On Prem**, ya que las rutas de subred se anuncian automáticamente. Tienes la opción de anunciar una ruta de "resumen" para tus prefijos personalizados.**
cloud compute routers update ncc-gw-usc1-cr \
--project=cloudnet-demo \
--region=us-central1 \
--advertisement-mode custom \
--set-advertisement-groups=all_subnets \
--set-advertisement-ranges="10.1.0.0/16"
Resultado:
Updating router [ncc-gw-usc1-cr]...done.
5. Integración de SSE de terceros con la puerta de enlace de NCC
Secure Access Connect es una función que te permite conectar productos externos de perímetro de servicio de seguridad (SSE) a la puerta de enlace de NCC para proteger el tráfico entrante y saliente. Su función principal es establecer un vínculo entre GCP y un proveedor externo de SSE.
En esta sección, accederás a Strata Cloud Manager para activar y configurar el servicio de proxy de SSE en la puerta de enlace de NCC.
El servicio se compone de dos recursos principales:
- Dominio de Secure Access Connect: Es un recurso global que vincula tu proyecto de Google Cloud al servicio de SSE. Establece un espacio de política de seguridad compartido para un grupo de VPC o usuarios, y expone al proveedor de SSE qué puertas de enlace deben regirse por el mismo conjunto de políticas de seguridad.
- Adjunto de Secure Access Connect: Es un recurso lógico regional que habilita físicamente la puerta de enlace de NCC para procesar el tráfico con el servicio de SSE. Contiene los metadatos necesarios para establecer la confianza y la conectividad con la pila de SSE del socio.
Crea un dominio de Secure Access Connect
gcloud beta network-security secure-access-connect realms create codelab-sac-realm \
--security-service=prisma-access
Identifica la clave de vinculación
Para asociar el dominio de Secure Access Connect con Prisma Access, necesitarás la clave de vinculación. Esta cadena alfanumérica se usará para configurar y aprovisionar la puerta de enlace de SSE a través del portal web de Strata Cloud Manager.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
createTime: '2026-04-21T13:48:53.760262401Z'
name: projects/"${projectname}"/locations/global/sacRealms/codelab-cden
pairingKey:
expireTime: '2026-04-28T13:48:51.107221733Z'
key: 2a52a7e2-7c95-4dc7-9155-c3234976fad4
securityService: PALO_ALTO_PRISMA_ACCESS
state: PENDING_PARTNER_ATTACHMENT
updateTime: '2026-04-21T13:48:55.874553834Z'
Crea el dominio de socio con Cloud WAN administrada en Prisma Access
- Accede a Strata Cloud Manager y asegúrate de usar el arrendatario de la puerta de enlace de SSE que se te asignó.
- Para conectar el dominio de SAC al arrendatario del socio, navega a
Configuración del sistema -> Integraciones -> WANs administradas en la nube
Haz clic en "Conectar".
- Ingresa la clave de vinculación del dominio de la SAC en el cuadro de diálogo "Connect Google NCC Gateway Account". Haz clic en "Confirmar" para comenzar a crear el reino.
El estado de la puerta de enlace de NCC tarda unos minutos en actualizarse a "Conectado".
En GCP Cloud Shell, usa el comando gcloud para encontrar la clave de vinculación asociada con el dominio de SAC.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
También puedes ver la clave de vinculación en GCP Console.
Agrega el clúster de SSE de la puerta de enlace de NCC como una conexión administrada de Cloud WAN. Para ello, navega a
Configuration > NGFW and Prisma Access > Haz clic en "Configuration Scope" y selecciona "Remote Network" en la sección "Prisma Access".
En la página Descripción general, haz clic en "Configuración" y selecciona "Conexiones de Cloud WAN administradas".
Haz clic en "Add Managed Cloud WAN Site".
Activa la instancia de SSE en la puerta de enlace de NCC
Cambia a la consola de GCP y usa el comando de gcloud para crear un adjunto de Secure Access Connect.
gcloud alpha network-security secure-access-connect attachments create codelab-sac-attachment-usc1 \
--location=us-central1 \
--realm=codelab-sac-realm \
--gateway=cl-ncc-gw-usc-sp
Crea la puerta de enlace del socio
Ingresa los parámetros de la conexión de Cloud WAN administrada.
- Nombre del sitio: Ingresa un nombre único para la conexión.
- **Tipo de servicio:**Selecciona la puerta de enlace de NCC de Google como el tipo de servicio.
- Nombre de la conexión: Selecciona la ubicación del servicio de GCP que creaste durante la activación y creación del adjunto de SAC de la puerta de enlace de CC.
- Ubicación de procesamiento de Prisma Access: Selecciona la ubicación de procesamiento en la que deseas implementar la integración de la puerta de enlace de NCC con Prisma Access.
- Ancho de banda (Mbps): Selecciona el ancho de banda que se asignará en Mbps. El máximo que puedes asignar es de 10,000 Mbps (10 Gbps).
El máximo que puedes asignar es de 10,000 Mbps (10 Gbps).
Cuando termines, haz clic en "Guardar".
Sincroniza la configuración de la instancia de SSE de la puerta de enlace de NCC
Selecciona "Push Config" para crear la instancia de SSE del socio en el radio de puerta de enlace de NCC.
Para supervisar el progreso, haz clic en "Push Config" y selecciona "Trabajos". Espera a que se completen todos los "Resultados" de tu trabajo específico.
Cuando termines, haz clic en "Listo".
Para verificar el estado de la puerta de enlace SSE del socio, navega a Configuration > NGFW and Prisma Access > Configuration Scope > Prisma Access > Remote Networks >Setup > Managed Cloud WAN Connections.
Prisma Access aprovisiona automáticamente la configuración de BGP de la conexión de Cloud WAN administrada.
6. Verifica la ruta de datos a través de la puerta de enlace de NCC
Cambia a tu consola de Cloud Shell de GCP
Usa el comando de gcloud para ver las rutas anunciadas que se originan en la VPC radial de la puerta de enlace:
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
Establece una conexión SSH a "vm1-vpc1-ncc**"** y, luego, inicia el volcado TCP para hacer un seguimiento de los paquetes ICMP de **"vm2-vpc2-ncc"**. Como recordatorio, esta VM reside en VPC2.
vm1-vpc1-ncc
sudo tcpdump -i any icmp -v -e -n
Establece una sesión SSH en "vm1-vpc2-ncc**"** y haz "ping" a la dirección IP de "vm1-vpc1-ncc".
vm1-vpc2-ncc
ping 10.1.1.2
Resultado:
Deberías ver el siguiente registro en vm1-vpc1-ncc.
Ejecuta un comando curl en la VM-1 para el servidor HTTP local para probar la accesibilidad local
vm1-vpc1-ncc
curl 172.16.101.11 -vv
Resultado:
Establece una sesión SSH en "vm1-vpc2-ncc**"** y haz "ping" a la dirección IP "1.1.1.1".
vm1-vpc2-ncc
ping 1.1.1.1
Resultado:
Los pings no funcionan porque deben permitirse en Prisma(Strata Cloud Manager). Habilitemos esta opción.
Ve a Strata Cloud Manager —-> Configuration —-> NGFW and Prisma Access. Verás lo siguiente:::
En la esquina superior izquierda, presiona el menú desplegable Global, elige "Redes remotas", luego haz clic en la pestaña "Servicios de seguridad" y elige "Política de seguridad". Consulta la siguiente imagen:::
Haz clic en Agregar regla en la esquina superior derecha y crea una regla "allow icmp" para permitir el tráfico de icmp entre vm1-vpc2-ncc y 1.1.1.1. Cuando termines, presiona "Push Config" en la esquina superior derecha.
Asegúrate de consultar los trabajos para verificar que la configuración se haya enviado correctamente. Haz clic en Push Config —-> Jobs.
Una vez que el trabajo se complete correctamente, vuelve a probar el ping desde vm1-vpc2-ncc.
¡¡¡LISTO!!! Completaste este codelab correctamente.
7. Liberar espacio del lab
Borra los adjuntos de VLAN
gcloud compute interconnects attachments delete vl2024-ead1 \
--region=us-central1 \
--quiet
gcloud compute interconnects attachments delete vl3026-ead2 \
--region=us-central1 \
--quiet
Borra el par de BGP y la interfaz de BGP de Cloud Router de la puerta de enlace de NCC
gcloud compute routers remove-bgp-peer ncc-gw-usc1-cr \
--peer-name=bgp-vl2024-ead1 \
--region=us-central1
gcloud compute routers remove-interface ncc-gw-usc1-cr \
--interface-name=if-vl3026-ead2 \
--region=us-central1
Borra ncc-gw-usc1-cr y ncc-gw-usc1-cr
gcloud compute routers delete ncc-gw-usc1-cr \
--region=us-central1 \
--quiet
Borra las rutas anunciadas de la puerta de enlace
gcloud beta network-connectivity spokes gateways advertised-routes delete ncc-gw-usc1-cr \
--region=us-central1 \
--spoke=cl-ncc-gw-usw-sp \
Borra los radios de VPC de NCC
gcloud network-connectivity spokes delete vpc1-sp --global --quiet
gcloud network-connectivity spokes delete vpc2-sp --global --quiet
gcloud network-connectivity spokes delete vpc3-sp --global --quiet
Borra el radio de ncc-gateway
gcloud network-connectivity spokes delete cl-ncc-gw-usc-sp --region=us-central1 \
--quiet
Borra el dominio de acceso seguro
gcloud beta network-security secure-access-connect realms delete codelab-sac-realm --quie
t
Borrar el concentrador de NCC
gcloud network-connectivity hubs delete ncc-hub --quiet
Borra las reglas de firewall
gcloud compute firewall-rules delete ncc1-vpc-internal --quiet
gcloud compute firewall-rules delete ncc2-vpc-internal --quiet
gcloud compute firewall-rules delete ncc3-vpc-internal --quiet
gcloud compute firewall-rules delete ncc1-vpc-iap --quiet
gcloud compute firewall-rules delete ncc2-vpc-iap --quiet
gcloud compute firewall-rules delete ncc3-vpc-iap --quiet
Borra instancias de GCE
gcloud compute instances delete vm1-vpc1-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm2-vpc2-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm1-vpc3-ncc --zone=us-east1-b --quiet
Borra subredes de VPC
gcloud compute networks subnets delete vpc1-ncc-subnet1 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet2 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet3 --region us-central1 --quiet
Borrar VPC
gcloud compute networks delete vpc1-ncc vpc2-ncc vpc3-ncc vpc4-ncc, vpc5-ncc --quiet
8. ¡Felicitaciones!
Completaste el lab de Network Connectivity Center.
Temas que se abordaron
- Configura la topología de inspección híbrida de NCC
- Radio de puerta de enlace de NCC
- Puerta de enlace de SSE de Palo Alto Networks en Google Cloud
- PANW: Strata Cloud Manager
Próximos pasos