Tier-0 网关具有到 Tier-1 网关的下行链路连接,以及到物理网络的上行链路连接。

如果要在NSX 联合中添加来自全局管理器的 Tier-0 网关,请参见从全局管理器添加 Tier-0 网关

您可以将 Tier-0 网关的 HA(高可用性)模式配置为活动-活动或活动-备用。仅活动-备用模式支持以下服务:
  • NAT
  • 负载均衡
  • 有状态防火墙
  • VPN
注:NSX-T Data Center 3.0.1 开始,支持活动-备用 Tier-0 网关。
对于单层和多层拓扑中的所有接口(上行链路、服务端口和下行链路),Tier-0 和 Tier-1 网关支持以下寻址配置:
  • 仅 IPv4
  • 仅 IPv6
  • 双栈 - IPv4 和 IPv6
要使用 IPv6 或双栈寻址,请在 网络 > 网络设置 > 全局网络配置中启用 IPv4 和 IPv6 以作为 L3 转发模式。

您可以将 Tier-0 网关配置为支持 EVPN(以太网 VPN)第 5 类路由。有关配置 EVPN 的详细信息,请参见配置 EVPN

如果为 Tier-0 网关配置路由重新分发,则可以从以下两组源中进行选择:Tier-0 子网和已通告的 Tier-1 子网。Tier-0 子网组中的源包括:
源类型 说明
已连接接口和分段 其中包括已连接到 Tier-0 网关的外部接口子网、服务接口子网和分段子网。
静态路由 在 Tier-0 网关上配置的静态路由。
NAT IP 由 Tier-0 网关所拥有并从 Tier-0 网关上配置的 NAT 规则中发现的 NAT IP 地址。
IPSec 本地 IP 用于建立 VPN 会话的本地 IPSEC 端点 IP 地址。
DNS 转发器 IP 来自客户端的 DNS 查询的侦听器 IP,该 IP 也用作将 DNS 查询转发到上游 DNS 服务器的源 IP。
EVPN TEP IP 这用于在 Tier-0 网关上重新分发 EVPN 本地端点子网。
已通告的 Tier-1 子网组中的源包括:
源类型 说明
已连接接口和分段 其中包括已连接到 Tier-1 网关的分段子网和在 Tier-1 网关上配置的服务接口子网。
静态路由 在 Tier-1 网关上配置的静态路由。
NAT IP 由 Tier-1 网关所拥有并从 Tier-1 网关上配置的 NAT 规则中发现的 NAT IP 地址。
LB VIP 负载均衡虚拟服务器的 IP 地址。
LB SNAT IP 由负载均衡器用于源 NAT 的 IP 地址或 IP 地址范围。
DNS 转发器 IP 来自客户端的 DNS 查询的侦听器 IP,该 IP 也用作将 DNS 查询转发到上游 DNS 服务器的源 IP。
IPSec 本地端点 IPSec 本地端点的 IP 地址。

在 Tier-0 网关上,代理 ARP 可处理外部接口 IP 和服务接口 IP 的 ARP 查询。从 NSX-T Data Center 3.0.2 开始,代理 ARP 还可处理配置了 Permit 操作的 IP 前缀列表中的服务 IP 的 ARP 查询。

前提条件

如果您计划配置多播,请参见 配置多播

过程

  1. 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
  2. 选择网络 > Tier-0 网关
  3. 单击添加 Tier-0 网关
  4. 输入网关的名称。
  5. 选择 HA(高可用性)模式。
    默认模式为活动-活动。在活动-活动模式下,将在所有成员之间进行流量负载均衡。在活动-备用模式下,将由选举的活动成员处理所有流量。如果活动成员发生故障,将选举新的成员以作为活动成员。
  6. 如果 HA 模式为活动-备用,请选择故障切换模式。
    选项 说明
    主动 如果首选节点发生故障并恢复,它将取代对等节点并变为活动节点。对等节点将其状态更改为备用。
    非主动 如果首选节点发生故障并恢复,它将检查对等节点是否为活动节点。如果是,首选节点不会取代对等节点并作为备用节点。
  7. (可选) 选择一个 NSX Edge 集群。
  8. (可选) 单击其他设置
    1. 内部转换子网字段中,输入一个子网。
      这是用于该网关内组件之间的通信的子网。默认值为 169.254.0.0/24。
    2. T0-T1 转换子网字段中,输入一个或多个子网。
      这些子网用于该网关及其链接到的所有 Tier-1 网关之间的通信。在创建该网关并将其链接到 Tier-1 网关后,将会在 Tier-0 网关端和 Tier-1 网关端看到分配给链路的实际 IP 地址。该地址显示在 Tier-0 网关页面和 Tier-1 网关页面上的 其他设置 > 路由器链路中。默认值为 100.64.0.0/16。
  9. 单击 VRF 网关的路由标识以配置路由标识管理地址。
    仅 EVPN 和自动路由标识用例需要执行此操作。
  10. (可选) 添加一个或多个标记。
  11. 单击保存
  12. 对于 IPv6,在其他设置下,您可以选择或创建 ND 配置文件DAD 配置文件
    这些配置文件用于配置 IPv6 地址的无状态地址自动配置 (SLAAC) 和重复地址检测 (DAD)。
  13. (可选) 单击 EVPN 设置以配置 EVPN。
    1. 选择 VNI 池。
      如果您之前尚未创建 VNI 池,则可以单击菜单图标(3 个点)来创建一个 VNI 池。
    2. EVPN 隧道端点字段中,单击设置以添加 EVPN 本地隧道端点。
      对于隧道端点,选择一个 Edge 节点并指定一个 IP 地址。
      您可以选择指定 MTU。
      注: 确保已在为 EVPN 隧道端点选择的 NSX Edge 节点上配置上行链路接口。
  14. 要配置路由重新分发,请单击路由重新分发设置
    选择一个或多个以下源:
    • Tier-0 子网:静态路由NAT IPIPSec 本地 IPDNS 转发器 IPEVPN TEP IP已连接接口和分段

      已连接接口和分段下方,您可以选择以下一项或多项:服务接口子网外部接口子网环回接口子网已连接分段

    • 已通告的 Tier-1 子网:DNS 转发器 IP静态路由LB VIPNAT IPLB SNAT IPIPSec 本地端点已连接接口和分段

      已连接接口和分段下方,您可以选择服务接口子网和/或已连接分段

  15. 要配置接口,请单击接口设置
    1. 单击添加接口
    2. 输入名称。
    3. 选择一种类型。
      如果 HA 模式为活动-备用,则选项包括 外部服务环回。如果 HA 模式为活动-活动,则选项包括 外部环回
    4. 使用 CIDR 格式输入一个 IP 地址。
    5. 选择分段。
    6. 如果接口类型不是服务,请选择 NSX Edge 节点。
    7. (可选) 如果接口类型不是环回,请输入 MTU 值。
    8. (可选) 如果接口类型为外部,则可以通过将 PIM(协议独立多播)设置为已启用来启用多播。
      只能在单个上行链路接口上启用 PIM。
      注意:如果您稍后在此接口上禁用 PIM,则将在所有接口(包括此网关上的下行链路)上禁用多播。
    9. (可选) 添加标记,然后选择一个 ND 配置文件。
    10. (可选) 如果接口类型为外部,则对于 URPF 模式,您可以选择严格
      URPF(单播反向路径转发)是一项安全功能。
    11. 创建接口后,您可以通过单击接口的菜单图标(三个点)并选择下载 ARP 表来下载 ARP 表。
  16. (可选) 如果 HA 模式为活动-备用,请单击 HA VIP 配置旁边的设置,以配置 HA VIP。
    在配置了 HA VIP 时,即使一个上行链路关闭,Tier-0 网关也会正常运行。物理路由器仅与 HA VIP 进行交互。HA VIP 适用于静态路由,而不是 BGP。
    1. 单击添加 HA VIP 配置
    2. 输入一个 IP 地址和子网掩码。
      HA VIP 子网必须与其绑定到的接口的子网相同。
    3. 从两个不同的 Edge 节点中选择两个接口。
  17. 单击路由以添加 IP 前缀列表、社区属性列表、静态路由和路由映射。
  18. 单击多播以配置多播路由。
  19. 单击 BGP 以配置 BGP。
  20. (可选) 要下载路由表或转发表,请单击菜单图标(三个点),然后选择一个下载选项。根据需要输入传输节点网络的值,然后保存 .CSV 文件。

下一步做什么

添加 Tier-0 网关后,您可以选择 DHCP 服务器配置文件或 DHCP 中继配置文件,以便在网关上选择性地启用动态 IP 管理。有关详细信息,请参见 将 DHCP 配置文件附加至 Tier-0 或 Tier-1 网关