在逻辑路由器上配置 OSPF 可以启用逻辑路由器之间的虚拟机连接,以及从逻辑路由器到 Edge 服务网关 (ESG) 的虚拟机连接。

关于此任务

OSPF 路由策略用于在成本相同的路由之间动态进行流量负载平衡。

一个 OSPF 网络分为多个路由区域,以优化流量并限制路由表的大小。区域是具有相同区域标识的 OSPF 网络、路由器和链路的逻辑集合。

区域由区域 ID 进行标识。

先决条件

必须如在逻辑(分布式)路由器上配置的 OSPF所示配置路由器 ID。

启用路由器 ID 后,该字段会默认填充逻辑路由器的上行链路接口。

过程

  1. 登录到 vSphere Web Client。
  2. 单击网络和安全 (Networking & Security),然后单击 NSX Edge (NSX Edges)
  3. 双击逻辑路由器。
  4. 单击路由 (Routing),然后单击 OSPF
  5. 启用 OSPF。
    1. 单击窗口右上角的编辑 (Edit),然后单击启用 OSPF (Enable OSPF)
    2. 转发地址 (Forwarding Address)中,键入主机中路由器数据路径模块用来转发数据路径数据包的 IP 地址。
    3. 协议地址 (Protocol Address)中,键入与转发地址 (Forwarding Address)位于同一个子网中的唯一 IP 地址。协议地址由协议使用,以与对等方相邻。
  6. 配置 OSPF 区域。
    1. 也可以选择删除默认配置的次末节区域 (NSSA) 51。
    2. 区域定义 (Area Definitions)中,单击添加 (Add)图标。
    3. 键入区域 ID。NSX Edge 支持 IP 地址或十进制数字形式的区域 ID。
    4. 类型 (Type)中,选择正常 (Normal)NSSA

      NSSA 会阻止 AS 外部链接状态通告 (LSA) 涌入 NSSA。它们依赖于到外部目标的默认路由。因此,必须将 NSSA 放在 OSPF 路由域的边缘。NSSA 可将外部路由导入到 OSPF 路由域中,从而为未包含在 OSPF 路由域中的小型路由域提供传输服务。

  7. (可选) 选择身份验证 (Authentication)的类型。OSPF 在区域级执行身份验证。

    该区域内的所有路由器都必须配置相同的身份验证和对应的密码。要使 MD5 身份验证生效,接收和传输路由器必须具有相同的 MD5 密钥。

    1. 无 (None):不需要身份验证(默认值)。
    2. 密码 (Password):在此身份验证方法中,传输的数据包中包括密码。
    3. MD5:此身份验证方法使用 MD5(消息摘要类型 5)加密。传输的数据包中包括 MD5 校验和。
    4. 对于密码 (Password)MD5 类型的身份验证,键入密码或 MD5 密钥。
      注:
      • 在启用 FIPS 模式时,无法配置 MD5 身份验证。

      • NSX 始终使用密钥 ID 值 1。在使用 MD5 身份验证时,必须将 NSX Edge 或逻辑分布式路由器的任何非 NSX 设备对等项配置为使用密钥 ID 值 1,否则,无法建立 OSPF 会话。

  8. 映射区域的接口。
    1. 接口映射的区域 (Area to Interface Mapping)中,单击添加 (Add)图标以映射属于 OSPF 区域的接口。
    2. 选择要映射的接口及其要映射到的 OSPF 区域。
  9. (可选) 如有需要,编辑默认 OSPF 设置。

    在大多数情况下,建议保留默认 OSPF 设置。如果不更改设置,确保 OSPF 对等方使用相同的设置。

    1. 通信时间间隔 (Hello Interval)显示在接口上发送的两个通信数据包之间的默认时间间隔。

    2. 失效时间间隔 (Dead Interval)显示默认时间间隔,在该时间间隔内,路由器必须在声明邻居已关闭之前至少从该邻居接收到一个通信数据包。

    3. 优先级 (Priority)显示接口的默认优先级。优先级最高的接口是指定的路由器。

    4. 接口的成本 (Cost)显示通过该接口发送数据包所需的默认开销。接口的成本与该接口的带宽成反比。带宽越宽,成本越低。

  10. 单击发布更改 (Publish Changes)

在逻辑(分布式)路由器上配置的 OSPF

使用 OSPF 的一个简单 NSX 应用场景是当逻辑路由器 (DLR) 和 Edge 服务网关 (ESG) 是 OSPF 邻居时,如下图所示。

图 1. NSX 拓扑

在下面的屏幕中,逻辑路由器的默认网关是 ESG 的内部接口 IP 地址 (192.168.10.1)。

路由器 ID 是逻辑路由器的上行链路接口,即,面向 ESG 的 IP 地址 (192.168.10.2)。

逻辑路由器配置使用 192.168.10.2 作为其转发地址。协议地址可以是位于同一个子网中并且未在其他位置使用的任何 IP 地址。在本例中,配置了 192.168.10.3。配置的区域 ID 为 0,上行链路接口(面向 ESG 的接口)映射到该区域。

下一步做什么

确保路由重新分发和防火墙配置允许播发正确的路由。

在本例中,逻辑路由器连接的路由(172.16.10.0/24 和 172.16.20.0/24)播发到 OSPF 中。

如果在创建逻辑路由器时启用了 SSH,还必须配置一个防火墙筛选器,以允许通过 SSH 方式连接到逻辑路由器的协议地址。例如: