Tier-0 逻辑路由器在逻辑和物理网络之间提供网关服务。
Edge 节点只能支持一个 Tier-0 网关或逻辑路由器。在创建 Tier-0 网关或逻辑路由器时,请确保您创建的 Tier-0 网关或逻辑路由器没有超过 NSX Edge 集群中的 Edge 节点数。
在添加 Tier-0 逻辑路由器时,请务必规划要构建的网络拓扑。
为了简单起见,示例拓扑显示单个 Tier-1 逻辑路由器,它连接到在单个 NSX Edge 节点上托管的单个 Tier-0 逻辑路由器。请记住,这不是建议的拓扑。理想情况下,您应该使用至少两个 NSX Edge 节点以充分利用逻辑路由器设计。
Tier-1 逻辑路由器具有一个 Web 逻辑交换机和一个应用程序逻辑交换机,并且它们连接了相应的虚拟机。在将 Tier-1 路由器连接到 Tier-0 路由器时,将在 Tier-1 路由器和 Tier-0 路由器之间自动创建路由器-链路交换机。因此,该交换机标记为系统生成的交换机。
在某些情况下,外部客户端发送绑定到环回或 IKE IP 端口的 MAC 地址的 ARP 查询。但是,环回和 IKE IP 端口没有 MAC 地址,无法处理此类查询。在 Tier-0 逻辑路由器的上行链路和集中式服务端口上实施代理 ARP,以便代表环回和 IKE IP 端口处理 ARP 查询。
在为 Tier-0 逻辑路由器配置 DNAT、IPsec 和 Edge 防火墙时,将按以下顺序处理流量:IPsec、DNAT 和 Edge 防火墙。
在 Tier-0 或 Tier-1 逻辑路由器上,您可以配置不同类型的端口。一种类型称为集中式服务端口 (Centralized Service Port, CSP)。您必须在 Tier-1 逻辑路由器或处于活动-备用模式的 Tier-0 逻辑路由器上配置 CSP 以连接到 VLAN 支持的逻辑交换机,或者创建单独的 Tier-1 逻辑路由器。CSP 在 Tier-1 逻辑路由器或处于活动-备用模式的 Tier-0 逻辑路由器上支持以下服务:
- NAT
- 负载均衡
- 有状态防火墙
- VPN(IPsec 和 L2VPN)