Tier-0 网关具有到 Tier-1 网关的下行链路连接,以及到物理网络的上行链路连接。

如果要在NSX 联合中添加来自全局管理器的 Tier-0 网关,请参见从全局管理器添加 Tier-0 网关

您可以将 Tier-0 网关的 HA(高可用性)模式配置为活动-活动或活动-备用。仅活动-备用模式支持以下服务:
  • NAT
  • 负载均衡
  • 有状态防火墙
  • VPN
对于单层和多层拓扑中的所有接口(外部接口、服务接口和下行链路),Tier-0 和 Tier-1 网关支持以下寻址配置:
  • 仅 IPv4
  • 仅 IPv6
  • 双栈 - IPv4 和 IPv6
要使用 IPv6 或双栈寻址,请在 网络 > 网络设置 > 全局网络配置中启用 IPv4 和 IPv6 以作为 L3 转发模式。

您可以配置 Tier-0 网关以支持 EVPN(以太网 VPN)。有关配置 EVPN 的详细信息,请参见配置 EVPN

如果为 Tier-0 网关配置路由重新分发,则可以从以下两组源中进行选择:Tier-0 子网和已通告的 Tier-1 子网。Tier-0 子网组中的源包括:
源类型 说明
已连接接口和分段 其中包括已连接到 Tier-0 网关的外部接口子网、服务接口子网和分段子网。
静态路由 在 Tier-0 网关上配置的静态路由。
NAT IP 由 Tier-0 网关所拥有并从 Tier-0 网关上配置的 NAT 规则中发现的 NAT IP 地址。
IPSec 本地 IP 用于建立 VPN 会话的本地 IPSEC 端点 IP 地址。
DNS 转发器 IP 来自客户端的 DNS 查询的侦听器 IP,该 IP 也用作将 DNS 查询转发到上游 DNS 服务器的源 IP。
EVPN TEP IP 这用于在 Tier-0 网关上重新分发 EVPN 本地端点子网。
已通告的 Tier-1 子网组中的源包括:
源类型 说明
已连接接口和分段 其中包括已连接到 Tier-1 网关的分段子网和在 Tier-1 网关上配置的服务接口子网。
静态路由 在 Tier-1 网关上配置的静态路由。
NAT IP 由 Tier-1 网关所拥有并从 Tier-1 网关上配置的 NAT 规则中发现的 NAT IP 地址。
LB VIP 负载均衡虚拟服务器的 IP 地址。
LB SNAT IP 由负载均衡器用于源 NAT 的 IP 地址或 IP 地址范围。
DNS 转发器 IP 来自客户端的 DNS 查询的侦听器 IP,该 IP 也用作将 DNS 查询转发到上游 DNS 服务器的源 IP。
IPSec 本地端点 IPSec 本地端点的 IP 地址。

在 Tier-0 网关上,代理 ARP 可处理外部接口 IP 和服务接口 IP 的 ARP 查询。从 NSX-T Data Center 3.0.2 开始,代理 ARP 还可处理配置了 Permit 操作的 IP 前缀列表中的服务 IP 的 ARP 查询。

前提条件

如果您计划配置多播,请参见 配置多播

过程

  1. 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
  2. 选择网络 > Tier-0 网关
  3. 单击添加 Tier-0 网关
  4. 输入网关的名称。
  5. 选择 HA(高可用性)模式。
    默认模式为活动-活动。在活动-活动模式下,将在所有成员之间进行流量负载均衡。在活动-备用模式下,将由选举的活动成员处理所有流量。如果活动成员发生故障,将选举新的成员以作为活动成员。
  6. 如果 HA 模式为活动-备用,请选择故障切换模式。
    选项 说明
    主动 如果首选节点发生故障并恢复,它将取代对等节点并变为活动节点。对等节点将其状态更改为备用。
    非主动 如果首选节点发生故障并恢复,它将检查对等节点是否为活动节点。如果是,首选节点不会取代对等节点并作为备用节点。
  7. (可选) 选择一个 NSX Edge 集群。
  8. (可选) 单击其他设置
    1. 内部转换子网字段中,输入一个子网。
      这是用于该网关内组件之间的通信的子网。默认值为 169.254.0.0/24。
    2. T0-T1 转换子网字段中,输入一个或多个子网。
      这些子网用于该网关及其链接到的所有 Tier-1 网关之间的通信。在创建该网关并将其链接到 Tier-1 网关后,将会在 Tier-0 网关端和 Tier-1 网关端看到分配给链路的实际 IP 地址。该地址显示在 Tier-0 网关页面和 Tier-1 网关页面上的 其他设置 > 路由器链路中。默认值为 100.64.0.0/16。
  9. 单击 VRF 网关的路由标识以配置路由标识管理地址。
    仅处于内嵌模式的 EVPN 需要执行该操作。
  10. (可选) 添加一个或多个标记。
  11. 单击保存
  12. 对于 IPv6,在其他设置下,您可以选择或创建 ND 配置文件DAD 配置文件
    这些配置文件用于配置 IPv6 地址的无状态地址自动配置 (SLAAC) 和重复地址检测 (DAD)。
  13. (可选) 单击 EVPN 设置以配置 EVPN。
    1. 选择一种 EVPN 模式。
      选项包括:
      • 内嵌 - 在该模式下,EVPN 处理数据平面和控制平面流量。
      • 路由服务器 - 仅在该网关的 HA 模式为活动-活动时可用。在该模式下,EVPN 仅处理控制平面流量。
      • 无 EVPN
    2. 如果 EVPN 模式为内嵌,请选择一个 EVPN/VXLAN VNI 池,或者单击菜单图标(三个点)以创建新的池。
    3. 如果 EVPN 模式为路由服务器,请选择一个 EVPN 租户,或者单击菜单图标(三个点)以创建新的 EVPN 租户。
    4. EVPN 隧道端点字段中,单击设置以添加 EVPN 本地隧道端点。
      对于隧道端点,选择一个 Edge 节点并指定一个 IP 地址。
      您可以选择指定 MTU。
      注: 确保已在为 EVPN 隧道端点选择的 NSX Edge 节点上配置外部接口。
  14. 要配置路由重新分发,请单击路由重新分发设置
    选择一个或多个以下源:
    • Tier-0 子网:静态路由NAT IPIPSec 本地 IPDNS 转发器 IPEVPN TEP IP已连接接口和分段

      已连接接口和分段下方,您可以选择以下一项或多项:服务接口子网外部接口子网环回接口子网已连接分段

    • 已通告的 Tier-1 子网:DNS 转发器 IP静态路由LB VIPNAT IPLB SNAT IPIPSec 本地端点已连接接口和分段

      已连接接口和分段下方,您可以选择服务接口子网和/或已连接分段

  15. 要配置接口,请单击接口设置
    1. 单击添加接口
    2. 输入名称。
    3. 选择一种类型。
      如果 HA 模式为活动-备用,则选项包括 外部服务环回。如果 HA 模式为活动-活动,则选项包括 外部环回
    4. 使用 CIDR 格式输入一个 IP 地址。
    5. 选择分段。
    6. 如果接口类型不是服务,请选择 NSX Edge 节点。
    7. (可选) 如果接口类型不是环回,请输入 MTU 值。
    8. (可选) 如果接口类型为外部,则可以通过将 PIM(协议独立多播)设置为已启用来启用多播。
      您还可以配置以下内容:
      • IGMP 加入本地 - 输入一个或多个 IP 地址。IGMP 加入是一种调试工具,用于生成 (*,g) 加入以发出到汇合点 (RP),并将流量转发到发出加入的节点。有关详细信息,请参见关于 IGMP 加入
      • 通信时间间隔 (秒) - 默认值为 30。范围是 1-180。该参数指定通信消息之间的时间。在更改通信时间间隔后,在当前计划的 PIM 定时器到期后,它才会生效。
      • 保持时间 (秒) - 范围是 1-630。必须大于通信时间间隔。默认值为通信时间间隔的 3.5 倍。如果邻居在此时间间隔内没有从该网关收到通信消息,则邻居将该网关视为无法访问。
    9. (可选) 添加标记,然后选择一个 ND 配置文件。
    10. (可选) 如果接口类型为外部,则对于 URPF 模式,您可以选择严格
      URPF(单播反向路径转发)是一项安全功能。
    11. 创建接口后,您可以通过单击接口的菜单图标(三个点)并选择下载 ARP 表来下载 ARP 表。
  16. (可选) 如果 HA 模式为活动-备用,请单击 HA VIP 配置旁边的设置,以配置 HA VIP。
    在配置了 HA VIP 后,即使一个外部接口关闭,Tier-0 网关也可正常运行。物理路由器仅与 HA VIP 进行交互。HA VIP 适用于静态路由,而不是 BGP。
    1. 单击添加 HA VIP 配置
    2. 输入一个 IP 地址和子网掩码。
      HA VIP 子网必须与其绑定到的接口的子网相同。
    3. 从两个不同的 Edge 节点中选择两个接口。
  17. 单击路由以添加 IP 前缀列表、社区属性列表、静态路由和路由映射。
  18. 单击多播以配置多播路由。
  19. 单击 BGP 以配置 BGP。
  20. 单击 OSPF 以配置 OSPF。
    NSX-T Data Center 3.1.1 开始,可使用该功能。
  21. (可选) 要下载路由表或转发表,请单击菜单图标(三个点),然后选择一个下载选项。根据需要输入传输节点网络的值,然后保存 .CSV 文件。

结果

新网关将添加到列表中。对于任何网关,您可以单击菜单图标(3 个点)并选择 编辑以修改其配置。对于以下配置,您不需要单击 编辑。您只需单击网关的展开图标(右箭头),找到该实体,然后单击它旁边的数字。请注意,该数字不能为零。如果为零,您必须编辑网关。
  • 接口部分中:外部接口和服务接口
  • 路由部分中:IP 前缀列表静态路由静态路由 BFD 对等项社区属性列表路由映射
  • BGP 部分中:BGP 邻居

如果配置了 NSX 联合,单击实体以重新配置网关的功能也适用于全局管理器 (GM) 创建的网关。请注意,可以通过本地管理器修改 GM 创建的网关中的某些实体,但不能修改其他实体。例如,不能通过本地管理器修改 GM 创建的网关的 IP 前缀列表。此外,您可以从本地管理器中编辑 GM 创建的网关的现有外部接口和服务接口,但不能添加接口。