Tier-0 网关具有到 Tier-1 网关的下行链路连接,以及到物理网络的外部连接。

如果要在NSX 联合中添加来自全局管理器的 Tier-0 网关,请参阅“从全局管理器添加 Tier-0 网关”。

您可以将 Tier-0 网关的 HA(高可用性)模式配置为活动-活动或活动-备用。仅活动-备用模式支持以下服务:
  • NAT
  • 负载均衡
  • 有状态防火墙
  • VPN
对于单层和多层拓扑中的所有接口(外部接口、服务接口和下行链路),Tier-0 和 Tier-1 网关支持以下寻址配置:
  • 仅 IPv4
  • 仅 IPv6
  • 双栈 - IPv4 和 IPv6
要使用 IPv6 或双栈寻址,请在 网络 > 网络设置 > 全局网络配置中启用 IPv4 和 IPv6 以作为 L3 转发模式。

您可以配置 Tier-0 网关以支持 EVPN(以太网 VPN)。有关配置 EVPN 的详细信息,请参阅以太网 VPN (EVPN)

如果为 Tier-0 网关配置路由重新分发,则可以从以下两组源中进行选择:Tier-0 子网和已通告的 Tier-1 子网。Tier-0 子网组中的源包括:
源类型 描述
已连接接口和分段 重新分发在与 Tier-0 分段、Tier-0 DNS 转发器 IP、Tier-0 IPSec 本地 IP 和 Tier-0 NAT 类型相关的接口和路由上配置的所有子网。重新分发在连接到 Tier-0 的分段上配置的子网。
静态路由 重新分发在 Tier-0 网关上配置的静态路由。
NAT IP 重新分发由 Tier-0 所拥有并从 Tier-0 网关上配置的 NAT 规则中发现的 NAT IP。
IPSec 本地 IP 重新分发用于建立 VPN 会话的本地 IPSec 端点 IP 地址。重新分发 IPSec 子网。
DNS 转发器 IP 重新分发来自客户端的 DNS 查询的侦听器 IP,该 IP 也用作将 DNS 查询转发到上游 DNS 服务器的源 IP。重新分发 DNS 转发器子网。
EVPN TEP IP 在 Tier-0 上重新分发 EVPN 本地端点子网。
VRF 间静态路由 重新分发 Tier-0 或 VRF 实例通告的 IP。
路由器链路 在 Tier-0 网关上重新分发路由器链路端口子网。
已通告的 Tier-1 和 VPC 子网组中的源包括:
源类型 描述
连接的接口和分段/VPC 子网
  • 重新分发在分段上配置并从连接的 Tier-1 网关通告的子网。
  • 重新分发在 NSX VPC 中配置并从连接的 NSX VPC 通告的子网。
  • NSX VPC 将其所有公共子网通告到连接的 Tier-0 网关。
静态路由 重新分发 Tier-1 网关或 NSX VPC 通告的所有子网和静态路由。
NAT IP 重新分发由 Tier-1 网关或 NSX VPC 所拥有并从 Tier-1 网关或 NSX VPC 上配置的 NAT 规则中发现的 NAT IP 地址。
LB VIP 重新分发负载均衡虚拟服务器的 IP 地址。
LB SNAT IP 重新分发由负载均衡器用于源 NAT 的 IP 地址或 IP 地址范围。
DNS 转发器 IP 重新分发来自客户端的 DNS 查询的侦听器 IP,该 IP 也用作将 DNS 查询转发到上游 DNS 服务器的源 IP。
IPSec 本地端点 重新分发 IPSec 本地端点的 IP 地址。

当 NAT 规则或负载均衡器 VIP 使用 Tier-0 网关外部接口的子网中的 IP 地址时,会在 Tier-0 网关上自动启用代理 ARP。通过启用代理 ARP,覆盖网络分段上的主机和 VLAN 分段上的主机可以共同交换网络流量,而无需在物理网络结构中实施任何更改。

有关代理 ARP 拓扑中的数据包流量的详细示例,请参阅 VMware 社区门户上的NSX 参考设计指南》

活动-备用配置中的 Tier-0 网关支持代理 ARP,它会响应针对外部和服务接口 IP 的 ARP 查询。代理 ARP 还会响应配置了 Permit 操作的 IP 前缀列表中服务 IP 的 ARP 查询。

活动-活动配置中的 Tier-0 网关也支持代理 ARP。但是,活动-活动 Tier-0 配置中的所有 Edge 节点都必须能够直接访问需要代理 ARP 的网络。换句话说,您必须在加入 Tier-0 网关的所有 Edge 节点上配置外部接口和服务接口,代理 ARP 才能正常工作。

从 NSX 4.1.1 开始,您可以使用以下 API 了解 Tier-0 网关的路由总数。有关这些 API 的详细信息,请参阅NSX API 指南

GET /policy/api/v1/infra/tier-0s/{tier-0-id}/number-of-routes
GET /policy/api/v1/global-infra/tier-0s/{tier-0-id}/number-of-routes

前提条件

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 选择网络 > Tier-0 网关
  3. 选择添加 Tier-0 网关
  4. 输入网关的名称。
  5. 选择 HA(高可用性)模式。
    默认模式为活动-活动。在活动-活动模式下,将在所有成员之间进行流量负载均衡。在活动-备用模式下,将由选举的活动成员处理所有流量。如果活动成员发生故障,将选举新的成员以作为活动成员。
  6. 如果 HA 模式为活动-备用,请选择故障切换模式。
    选项 描述
    主动 如果首选节点发生故障并恢复,它将取代对等节点并变为活动节点。对等节点将其状态更改为备用。
    非主动 如果首选节点发生故障并恢复,它将检查对等节点是否为活动节点。如果是,首选节点不会取代对等节点并作为备用节点。
  7. (可选) 选择一个 NSX Edge 集群。
  8. (可选) 单击设置以在网关上添加 DHCP 配置
  9. (可选) 单击其他设置
    1. 内部转换子网字段中,输入一个子网。
      这是用于该网关内组件之间的通信的子网。默认值为 169.254.0.0/24。
    2. T0-T1 转换子网字段中,输入一个或多个子网。
      这些子网用于该网关及其链接到的所有 Tier-1 网关之间的通信。在创建该网关并将其链接到 Tier-1 网关后,将会在 Tier-0 网关端和 Tier-1 网关端看到分配给链路的实际 IP 地址。该地址显示在 Tier-0 网关页面和 Tier-1 网关页面上的 其他设置 > 路由器链路中。默认值为 100.64.0.0/16。

      创建 Tier-0 网关后,您可以通过编辑网关来更改 T0-T1 转换子网。请注意,这将导致流量短暂中断。

    3. 转发启动定时器字段中,输入一个时间。

      转发启动定时器定义在启动第一个 BGP、BFD 或 OSPF 会话后路由器发送启动通知之前必须等待的时间(秒)。在 NSX Edge 上使用动态路由(BGP 或 OSPF)的 Tier-0 网关的活动-活动或活动-备用配置进行故障切换时,该定时器(以前称为转发延迟)可以最大限度减少停机时间。应将其设置为在启动第一个 BGP/OSPF 会话后外部路由器 (TOR) 将所有路由通告到 NSX Edge 所需的秒数。此定时器的默认值为 5 秒。对于在 NSX Edge 上学习到较大规模路由的环境,应将该值增加到更大的值。通常,Tier-0 网关必须具有冗余 Edge 节点。如果冗余 Edge 节点不可用,则应将此定时器设置为 0。

  10. 单击 VRF 网关的路由标识以配置路由标识管理地址。
    仅处于内嵌模式的 EVPN 需要执行该操作。
  11. 要将路由标识池中的唯一路由标识分配给 EVPN VRF 的每个 Edge 节点,请启用每个 Edge 的路由标识。请注意,对于 EVPN 的内嵌模式,路由标识可以从手动配置的池中分配,也可以是自动分配的。而对于 EVPN 的路由服务器模式,路由标识仅从手动配置的池中分配。
  12. (可选) 添加一个或多个标记。
  13. 单击保存
  14. 对于 IPv6,在其他设置下,您可以选择或创建 ND 配置文件DAD 配置文件
    这些配置文件用于配置 IPv6 地址的无状态地址自动配置 (SLAAC) 和重复地址检测 (DAD)。
  15. (可选) 单击 EVPN 设置以配置 EVPN。
    1. 选择一种 EVPN 模式。
      选项包括:
      • 内嵌 - 在该模式下,EVPN 处理数据平面和控制平面流量。
      • 路由服务器 - 仅在该网关的 HA 模式为活动-活动时可用。在该模式下,EVPN 仅处理控制平面流量。
      • 无 EVPN
    2. 如果 EVPN 模式为内嵌,请选择一个 EVPN/VXLAN VNI 池,或者单击菜单图标(三个点)以创建新的池。
    3. 如果 EVPN 模式为路由服务器,请选择一个 EVPN 租户,或者单击菜单图标(三个点)以创建新的 EVPN 租户。
    4. EVPN 隧道端点字段中,单击设置以添加 EVPN 本地隧道端点。
      对于隧道端点,选择一个 Edge 节点并指定一个 IP 地址。
      您可以选择指定 MTU。
      注: 确保已在为 EVPN 隧道端点选择的 NSX Edge 节点上配置外部接口。
  16. 要配置路由重新分发,请单击路由重新分发设置
    选择一个或多个以下源:
    • Tier-0 子网:静态路由NAT IPIPSec 本地 IPDNS 转发器 IP路由器链路已连接接口和分段

      已连接接口和分段下方,您可以选择以下一项或多项:服务接口子网外部接口子网环回接口子网已连接分段

    • Tier-0 子网:静态路由NAT IPIPSec 本地 IPDNS 转发器 IPEVPN TEP IP已连接接口和分段

      已连接接口和分段下方,您可以选择以下一项或多项:服务接口子网外部接口子网环回接口子网已连接分段

    • 已通告的 Tier-1 子网:DNS 转发器 IP静态路由LB VIPNAT IPLB SNAT IPIPSec 本地端点已连接接口和分段

      已连接接口和分段下方,您可以选择服务接口子网和/或已连接分段

  17. 要配置接口,请单击接口和 GRE 隧道,然后单击外部接口和服务接口设置
    1. 单击添加接口
    2. 输入名称。
    3. 选择位置。可以选择所有已载入的站点。
    4. 选择一种类型。
      如果 HA 模式为活动-备用,则选项包括 外部服务环回。如果 HA 模式为活动-活动,则选项包括 外部环回
    5. 使用 CIDR 格式输入一个 IP 地址。
    6. 选择分段。
    7. 如果接口类型不是服务,请选择 NSX Edge 节点。
    8. (可选) 如果接口类型不是环回,请输入 MTU 值。
    9. (可选) 如果接口类型为外部,则可以通过将 PIM(协议独立多播)设置为已启用来启用多播。

      您还可以配置以下内容:

      • IGMP 加入本地 - 输入一个或多个 IP 地址。IGMP 加入是一种调试工具,用于生成 (*,g) 加入以发出到汇合点 (RP),并将流量转发到发出加入的节点。有关详细信息,请参阅关于 IGMP 加入
      • 通信时间间隔 (秒) - 默认值为 30。范围是 1-180。该参数指定通信消息之间的时间。在更改通信时间间隔后,在当前计划的 PIM 定时器到期后,它才会生效。
      • 保持时间 (秒) - 范围是 1-630。必须大于通信时间间隔。默认值为通信时间间隔的 3.5 倍。如果邻居在此时间间隔内没有从该网关收到通信消息,则邻居将该网关视为无法访问。
    10. (可选) 添加标记,然后选择一个 ND 配置文件。
    11. (可选) 如果接口类型为外部,则对于 URPF 模式,您可以选择严格
      不建议使用非对称路由或转发。因此,默认情况下, URPF 模式设置为 严格

      对于对称路由,请确保 Tier-0 网关和北向路由器之间的配置能够从给定站点上 Tier-0 网关中的每个 Edge 节点通告相同的前缀集。此外,必须从给定站点上 Tier-0 网关的所有 Edge 节点上的 TOR 中学习相同的前缀集。

      如果在 Tier-0 网关和北向路由器之间具有 BGP,并使用路由映射或筛选器,请确保此配置在所有 Edge 节点的入站和出站方向上保持一致。

      对于具有主站点和辅助站点的联合环境,应在辅助站点 BGP 邻居上通告较长的 AS 路径以进行 BGP 通告,从而解决非对称转发问题。

      如果需要非对称路由,请将 URPF 模式设置为

    12. (可选) 创建接口后,您可以单击接口的菜单图标(三个点)并选择下载 ARP 代理,以下载网关的 ARP 代理汇总。

      您也可以展开网关,然后展开接口以下载特定接口的 ARP 代理。单击一个接口,然后单击菜单图标(三个点),然后选择下载 ARP 代理

      注: 无法下载环回接口的 ARP 代理。
  18. (可选) 如果 HA 模式为活动-备用,请单击 HA VIP 配置旁边的设置,以配置 HA VIP。
    在配置了 HA VIP 后,即使一个外部接口关闭,Tier-0 网关也可正常运行。物理路由器仅与 HA VIP 进行交互。HA VIP 适用于静态路由,而不是 BGP。
    1. 单击添加 HA VIP 配置
    2. 输入一个 IP 地址和子网掩码。
      HA VIP 子网必须与其绑定到的接口的子网相同。
    3. 选择位置。可以选择所有已载入的站点。
    4. 确保为 HA 模式启用了 VIP 配置。
    5. 从两个不同的 Edge 节点中选择两个接口。
  19. 单击路由以添加 IP 前缀列表、社区属性列表、静态路由和路由映射。
  20. 单击多播以配置多播路由。
  21. 单击 BGP 以配置 BGP。
  22. 单击 OSPF 以配置 OSPF。从 NSX 3.1.1 开始提供该功能
  23. (可选) 要下载路由表或转发表,请执行以下操作:
    1. 单击菜单图标(三个点),然后选择下载选项。
    2. 根据需要输入传输节点网络的值。
    3. 单击下载以保存 .CSV 文件。
  24. (可选) 要从链接的 Tier-1 网关下载 ARP 表,请执行以下操作:
    1. 链接的 Tier-1 网关列中单击此数字。
    2. 单击菜单图标(3 个点),然后选择下载 ARP 表
    3. 选择一个 Edge 节点。
    4. 单击下载以保存 .CSV 文件。

结果

新网关将添加到列表中。对于任何网关,您可以单击菜单图标(3 个点)并选择 编辑以修改其配置。对于以下配置,您不需要单击 编辑。您只需单击网关的展开图标(右箭头),找到该实体,然后单击它旁边的数字。请注意,该数字不能为零。如果为零,您必须编辑网关。
  • 接口部分中:外部接口和服务接口
  • 路由部分中:IP 前缀列表静态路由静态路由 BFD 对等体社区属性列表路由映射
  • BGP 部分中:BGP 邻居

如果配置了 NSX 联合,单击实体以重新配置网关的功能也适用于全局管理器 (GM) 创建的网关。请注意,可以通过本地管理器修改 GM 创建的网关中的某些实体,但不能修改其他实体。例如,不能通过本地管理器修改 GM 创建的网关的 IP 前缀列表。此外,您可以从本地管理器中编辑 GM 创建的网关的现有外部接口和服务接口,但不能添加接口。