Distributed Logical Router(DLR)-Kernel-Module im Host sind für das Routing zwischen VXLAN-Netzwerken sowie zwischen virtuellen und physischen Netzwerken zuständig. Ein NSX Edge-Appliance liefert nach Bedarf eine dynamische Routing-Funktion. Distributed Logical Routers können auf primären und sekundären NSX Manager-Instanzen in einer Cross-vCenter NSX-Umgebung, Universal Distributed Logical Routers jedoch nur auf dem primären NSX Manager erstellt werden.

Hinweis: Ab NSX Data Center 6.4.4 wird der Begriff „Logischer Router“ in vSphere Web Client durch „Distributed Logical Router“ ersetzt. In der Dokumentation werden beide Begriffe synonym verwendet. Sie verweisen jedoch auf dasselbe Objekt.
Beachten Sie beim Bereitstellen eines neuen logischen Routers Folgendes:
  • In NSX Data Center for vSphere 6.2 und höher ist es möglich, mit logischen Routern geroutete logische Schnittstellen (LIFs) mit einem VXLAN zu verbinden, das zu einem VLAN überbrückt ist.
  • Logische Router- und Bridging-Schnittstellen können nicht mit einer dvPortgroup verbunden werden, wenn die VLAN-ID auf 0 festgelegt ist.
  • Eine bestimmte Instanz eines logischen Routers kann nicht mit logischen Switches aus unterschiedlichen Transportzonen verbunden werden. Dadurch soll sichergestellt werden, dass alle logischen Switches und logischen Router-Instanzen aufeinander abgestimmt sind.
  • Es kann keine Verbindung zwischen einem logischen Router und VLAN-gestützten Portgruppen hergestellt werden, wenn der logische Router mit logischen Switches verbunden ist, die sich über mehr als einen vSphere Distributed Switch (VDS) erstrecken. Dadurch wird die ordnungsgemäße Ausrichtung logischer Router-Instanzen mit den dvPortgroups logischer Switches über Hosts hinweg sichergestellt.
  • Logische Router-Schnittstellen müssen nicht auf zwei unterschiedlichen verteilten Portgruppen (dvPortgroups) mit derselben VLAN-ID erstellt werden, wenn sich die beiden Netzwerke im gleichen vSphere Distributed Switch befinden.
  • Logische Router-Schnittstellen sollten nicht auf zwei unterschiedlichen dvPortgroups mit derselben VLAN-ID erstellt werden, wenn sich zwei Netzwerke in unterschiedlichen vSphere Distributed Switches befinden, aber sich die beiden vSphere Distributed Switches identische Hosts teilen. In anderen Worten: Logische Router-Schnittstellen können auf zwei unterschiedlichen Netzwerken mit derselben VLAN-ID erstellt werden, wenn sich die beiden dvPortgroups in zwei unterschiedlichen vSphere Distributed Switches befinden, solange sich die vSphere Distributed Switches keinen Host teilen.
  • Wenn VXLAN konfiguriert ist, müssen logische Router-Schnittstellen auf dem vSphere Distributed Switch mit verteilten Portgruppen verbunden sein, auf dem VXLAN konfiguriert ist. Verbinden Sie die logischen Router-Schnittstellen nicht mit Portgruppen auf anderen vSphere Distributed Switches.
In der folgenden Liste wird die Unterstützung von Funktionen durch Schnittstellentypen (Uplink und intern) auf dem logischen Router beschrieben:
  • Dynamische Routing-Protokolle (BGP und OSPF) werden nur auf Uplink-Schnittstellen unterstützt.
  • Firewallregeln gelten nur auf Uplink-Schnittstellen und sind auf Kontrolle und Verwaltung von Datenverkehr beschränkt, der die virtuelle Edge-Appliance zum Ziel hat.
  • Weitere Informationen über die DLR-Verwaltungsschnittstelle finden Sie im Knowledgebase-Artikel „Interface Guide: DLR Control VM – NSX“ http://kb.vmware.com/kb/2122060.
Wichtig:

Wenn Sie die Hochverfügbarkeit auf einem NSX Edge in einer Cross-vCenter NSX-Umgebung aktivieren, müssen sich die aktive und die Standby-NSX Edge-Appliances im selben vCenter Server befinden. Wenn Sie eine der Appliances eines NSX Edge-HA-Paares auf einen anderen vCenter Server migrieren, werden die beiden HA-Appliances nicht mehr als HA-Paar ausgeführt. Dies kann zu einer Unterbrechung des Datenverkehrs führen.

Achtung: vSphere Fault Tolerance ist nicht mit logischen Router Control-VMs kompatibel.

Voraussetzungen

  • Ihnen muss die Rolle Enterprise-Administrator oder NSX-Administrator zugewiesen sein.
  • Sie müssen auch dann einen lokalen Segment-ID-Pool erstellen, wenn Sie nicht vorhaben, logische Switches zu erstellen.
  • Stellen Sie vor der Erstellung oder Änderung der Konfiguration eines logischen Routers sicher, dass der Controller-Cluster eingerichtet und verfügbar ist. Ein logischer Router kann ohne die Hilfe von NSX Controllern keine Routing-Informationen an Hosts verteilen. Ein logischer Router verlässt sich auf die Funktion von NSX Controllern, was bei Edge Services Gateways (ESGs) nicht der Fall ist.
  • Wenn ein logischer Router mit VLAN-dvPortgroups verbunden werden soll, stellen Sie sicher, dass alle Hypervisor-Hosts mit einer installierten logischen Router-Appliance einander auf UDP-Port 6999 erreichen können. Die Kommunikation über diesen Port ist erforderlich, damit der auf dem VLAN des logischen Routers basierende ARP-Proxy funktioniert.
  • Legen Sie fest, wo die logische Router-Appliance bereitgestellt werden soll.
    • Der Zielhost muss Teil derselben Transportzone wie die logischen Switches sein, die mit den Schnittstellen des neuen logischen Routers verbunden sind.
    • Vermeiden Sie eine Platzierung auf demselben Host als ein oder mehrere vorgeschaltete ESGs, sofern Sie ESGs in einer ECMP-Einrichtung verwenden. Um diese Praxis durchzusetzen, können Sie DRS-Regeln für Anti-Affinität verwenden, wodurch die Auswirkungen eines Hostfehlers auf die Weiterleitung logischer Router reduziert werden. Diese Richtlinie gilt nicht, wenn Sie ein ESG alleine oder im HA-Modus verwenden. Weitere Informationen finden Sie in der Dokumentation Design-Handbuch für die NSX-Netzwerkvirtualisierung unter https://communities.vmware.com/docs/DOC-27683.
  • Stellen Sie sicher, dass das Hostcluster, auf dem Sie die logische Router-Appliance installieren, für NSX Data Center for vSphere vorbereitet ist. Informationen dazu erhalten Sie unter „Vorbereiten der Hostcluster für NSX“ in der Dokumentation Installationshandbuch für NSX.
  • Legen Sie den entsprechenden NSX Manager fest, bei dem Sie Änderungen durchführen möchten.
    • In einer eigenständigen oder einzelnen vCenter NSX-Umgebung gibt es nur einen NSX Manager, sodass Sie keinen auswählen müssen.
    • Universelle Objekte müssen vom primären NSX Manager verwaltet werden.
    • Lokale Objekte einer NSX Manager-Instanz müssen von diesem NSX Manager aus verwaltet werden.
    • In einer Cross-vCenter NSX-Umgebung, in der der erweiterte verknüpfte Modus nicht aktiviert ist, müssen Sie Konfigurationsänderungen von der vCenter-Instanz aus vornehmen, die mit dem NSX Manager verknüpft ist, den Sie ändern möchten.
    • In einer Cross-vCenter NSX-Umgebung im erweiterten verknüpften Modus können Sie Konfigurationsänderungen an beliebigen NSX Manager-Instanzen von jeder verknüpften vCenter-Instanz aus vornehmen. Wählen Sie den geeigneten NSX Manager aus dem Dropdown-Menü „NSX Manager“ aus.
  • Ermitteln Sie, welche Art von logischem Router Sie hinzufügen möchten:
    • Um einen logischen Switch zu verbinden, fügen Sie einen logischen Router hinzu.
    • Um einen globalen logischen Switch zu verbinden, fügen Sie einen globalen logischen Router hinzu.
  • Wenn Sie einen globalen logischen Router hinzufügen, ermitteln Sie, ob Sie den lokalen Ausgang aktivieren müssen. Mit dem lokalen Ausgang können Sie selektiv Routen an Hosts senden. Wenn Ihre NSX-Bereitstellung mehrere Sites umfasst, ist diese Option hilfreich. Weitere Informationen hierzu finden Sie unter Cross-vCenter NSX-Topologien. Sie können den lokalen Ausgang nach der Erstellung des globalen logischen Routers nicht mehr aktivieren.

Prozedur

  1. Navigieren Sie im vSphere Web Client zu Home > Netzwerk und Sicherheit (Networking & Security) > NSX Edges.
  2. Wählen Sie den entsprechenden NSX Manager aus, auf dem Sie Ihre Änderungen vornehmen. Wenn Sie einen globalen logischen Router erstellen, müssen Sie den primären NSX Manager auswählen.
  3. Klicken Sie auf Hinzufügen (Add) und wählen Sie anschließend den Typ des logischen Routers aus, den Sie hinzufügen möchten:
    • Wählen Sie Logischer (verteilter) Router (Logical (Distributed) Router) aus, um einen logischen Router hinzuzufügen, der für den ausgewählten NSX Manager lokal ist.
    • Wählen Sie Globaler logischer (verteilter) Router (Universal Logical (Distributed) Router) aus, um einen logischen Router hinzuzufügen, der sich über eine gesamte Cross-vCenter NSX-Umgebung erstrecken kann. Diese Option ist nur dann verfügbar, wenn Sie einen primären NSX Manager zugewiesen haben und Änderungen vom primären NSX Manager aus vornehmen. Wenn Sie Globaler logischer (verteilter) Router (Universal Logical (Distributed) Router) auswählen, können Sie den lokalen Ausgang optional aktivieren.
  4. Geben Sie Name, Beschreibung und andere Details des logischen Routers ein.
    Option Beschreibung
    Name

    Geben Sie den Namen für den logischen Router ein, der in der vCenter-Bestandsliste angezeigt werden soll.

    Achten Sie darauf, dass dieser Name über alle logischen Router eines einzelnen Mandanten hinweg eindeutig ist.

    Hostname

    Optional Geben Sie den Hostnamen ein, der für den logischen Router in der CLI angezeigt werden soll.

    Wenn Sie keinen Hostnamen eingeben, wird die automatisch erstellte Edge-ID in der CLI angezeigt.

    Beschreibung Optional Geben Sie eine Beschreibung für den logischen Router ein.
    Edge-Appliance bereitstellen

    Standardmäßig ist diese Option ausgewählt. Eine Edge-Appliance (auch als logische virtuelle Router-Appliance bezeichnet) ist für das dynamische Routing und die Firewall der logischen Router-Appliance erforderlich, die für logische Router-Pings, SSH-Zugriff und dynamisches Routing gilt.

    Wenn Sie nur statische Routen benötigen und keine Edge-Appliance bereitstellen möchten, deaktivieren Sie diese Option. Sie können keine Edge-Appliance zum logischen Router hinzufügen, nachdem der logische Router erstellt wurde.

    Hochverfügbarkeit

    Optional HA ist standardmäßig deaktiviert. Wählen Sie diese Option aus, um HA auf dem logischen Router zu aktivieren und konfigurieren.

    Wenn Sie ein dynamisches Routing planen, ist die HA erforderlich.

    HA-Protokollierung

    Optional Die HA-Protokollierung ist standardmäßig deaktiviert.

    Wenn die Protokollierung aktiviert ist, ist die Standard-Protokollierungsebene auf „Info“ eingestellt. Sie können dies bei Bedarf ändern.

  5. Geben Sie die CLI-Einstellungen und die anderen Einstellungen des logischen Routers an.
    Option Beschreibung
    Benutzername Geben Sie den Benutzernamen ein, der für die Anmeldung bei der Edge-CLI verwendet werden soll.
    Kennwort Geben Sie ein Kennwort mit mindestens 12 Zeichen ein, das diese Voraussetzungen erfüllt:
    • Höchstens 255 Zeichen
    • Mindestens ein Großbuchstabe und ein Kleinbuchstabe
    • mindestens eine Zahl
    • Mindestens ein Sonderzeichen
    • Darf den Benutzernamen nicht als Teilzeichenfolge enthalten
    • Darf nicht ein Zeichen dreimal in Folge enthalten
    Kennwort bestätigen Geben Sie das Kennwort zur Bestätigung erneut ein.
    SSH-Zugriff

    Optional Der SSH-Zugriff ist standardmäßig deaktiviert. Wenn Sie SSH nicht aktivieren, können Sie auf den logischen Router weiterhin zugreifen, indem Sie die virtuelle Appliance-Konsole öffnen.

    Das Aktivieren von SSH führt dazu, dass der SSH-Vorgang auf dem logischen Router ausgeführt wird. Sie müssen die Firewallkonfiguration für den logischen Router manuell so anpassen, dass SSH auf die Protokolladresse des logischen Routers zugreifen kann. Die Protokolladresse wird konfiguriert, wenn Sie dynamisches Routing auf dem logischen Router konfigurieren.

    FIPS-Modus

    Optional Der FIPS-Modus ist standardmäßig deaktiviert.

    Wenn Sie den FIPS-Modus aktivieren, werden für die sichere Kommunikation zum oder vom NSX Edge kryptografische Algorithmen oder Protokolle verwendet, die laut FIPS zulässig sind.

    Protokollierung der Edge-Steuerungsebene Optional Als Protokollierungsebene ist standardmäßig „Info“ eingestellt.
  6. Konfigurieren Sie die Bereitstellung der NSX Edge-Appliance.
    • Wenn Sie Edge-Appliance bereitstellen (Deploy Edge Appliance) nicht ausgewählt haben, können Sie keine Appliance hinzufügen. Klicken Sie auf Weiter (Next), um mit der Konfiguration fortzufahren.
    • Wenn Sie Edge-Appliance bereitstellen (Deploy Edge Appliance) ausgewählt haben, geben Sie die Einstellungen für die virtuelle Appliance des logischen Routers ein.
    Beispiel:
    Option Wert
    Cluster/Ressourcenpool Management & Edge
    Datenspeicher ds-1
    Host esxmgt-01a.corp.local
    Ressourcenreservierung Verwaltetes System
    Weitere Informationen zur Ressourcenreservierung finden Sie unter „Verwalten von Ressourcenreservierungen für NSX Edge-Appliances“ im Administratorhandbuch für NSX.
  7. Konfigurieren Sie die Verbindung der HA-Schnittstelle und optional eine IP-Adresse.

    Wenn Sie die Option Edge-Appliance bereitstellen (Deploy Edge Appliance) ausgewählt haben, müssen Sie die HA-Schnittstelle mit einer verteilten Portgruppe oder mit einem logischen Switch verbinden. Wenn Sie diese Schnittstelle nur als HA-Schnittstelle nutzen, verwenden Sie einen logischen Switch. Es wird ein /30-Subnetz aus dem lokalen Bereich 169.254.0.0/16 des Links zugewiesen und für die Bereitstellung einer IP-Adresse für jede der beiden NSX Edge-Appliances verwendet.

    Wenn Sie diese Schnittstelle für die Herstellung einer Verbindung mit dem NSX Edge verwenden möchten, können Sie optional eine zusätzliche IP-Adresse und ein zusätzliches Präfix für die HA-Schnittstelle angeben.

    Hinweis:

    Vor NSX Data Center for vSphere 6.2 wurde die HA-Schnittstelle als „Verwaltungsschnittstelle“ bezeichnet. Eine SSH-Verbindung mit einer HA-Schnittstelle ist nur möglich, wenn die Verbindung nicht von außerhalb des IP-Subnetzes aufgebaut wird, in dem sich auch die HA-Schnittstelle befindet. Sie können keine statischen Routen konfigurieren, die aus der HA-Schnittstelle herausführen. Dies bedeutet, dass RPF den eingehenden Datenverkehr ablehnt. Sie könnten RPF jedoch theoretisch deaktivieren, was allerdings kontraproduktiv für die Hochverfügbarkeit ist. Für den SSH-Zugriff können Sie auch die Protokolladresse des logischen Routers verwenden. Diese wird später beim Konfigurieren des dynamischen Routing konfiguriert.

    In NSX Data Center for vSphere 6.2 und höher wird die HA-Schnittstelle eines logischen Routers automatisch von der Route Redistribution ausgeschlossen.

    Die folgende Tabelle zeigt eine Beispielkonfiguration für die HA-Schnittstelle, wobei die HA-Schnittstelle mit einer Management-dvPortgroup verbunden ist.
    Option Beschreibung
    Verbunden mit Mgmt_VDS-Mgmt
    IP-Adresse 192.168.110.60*
    Länge des Subnetzpräfixes 24
  8. Konfigurieren Sie die Schnittstellen des NSX Edge.
    1. Geben Sie Name, Typ und andere grundlegende Details für die Schnittstelle an.
      Option Beschreibung
      Name Geben Sie einen Namen für die Schnittstelle ein.
      Typ Wählen Sie entweder „Intern“ oder „Uplink“ aus.

      Die internen Schnittstellen dienen Verbindungen zu Switches, die die VM-zu-VM-Kommunikation (manchmal als Ost-West-Kommunikation bezeichnet) ermöglichen. Interne Schnittstellen werden auf der logischen virtuellen Router-Appliance als Pseudo-vNICs erstellt. Uplink-Schnittstellen dienen der Nord-Süd-Kommunikation und werden als vNICs in der virtuellen Appliance des logischen Routers erstellt.

      Die Uplink-Schnittstelle eines logischen Routers kann eine Verbindung zu einem Edge Services Gateway oder einer Drittanbieter-Router-VM herstellen. Sie müssen über mindestens eine Uplink-Schnittstelle verfügen, damit das dynamische Routing funktioniert.

      Verbunden mit Wählen Sie die verteilte virtuelle Portgruppe oder den logischen Switch aus, mit der/dem diese Schnittstelle verbunden werden soll.
    2. Konfigurieren Sie die Subnetze der Schnittstelle.
      Option Beschreibung
      Primäre IP-Adresse

      Auf logischen Routern wird nur IPv4-Adressierung unterstützt.

      Die Schnittstellen-Konfiguration, die Sie hier eingeben, kann später geändert werden. Sie können nach der Bereitstellung eines logischen Routers Schnittstellen hinzufügen, entfernen und verändern.

      Länge des Subnetzpräfixes Geben Sie die Subnetzmaske der Schnittstelle ein.
    3. (Optional) Bearbeiten Sie den standardmäßigen MTU-Wert, falls erforderlich. Der Standardwert für Uplink und interne Schnittstelle ist 1500.
      Die folgende Tabelle zeigt ein Beispiel von zwei internen Schnittstellen (App und Web) und einer Uplink-Schnittstelle (zu ESG).
      Tabelle 1. Beispiel: NSX Edge-Schnittstellen
      Name IP-Adresse Länge des Subnetzpräfixes Verbunden mit
      App 172.16.20.1* 24 App
      Web 172.16.10.1* 24 Web
      zu ESG 192.168.10.2* 29 Transit
  9. Konfigurieren Sie die Einstellungen des Standard-Gateways.
    Beispiel:
    Option Wert
    vNIC Uplink
    Gateway-IP 192.168.10.1
    MTU 1500
  10. Stellen Sie sicher, dass die Standard-Gateways aller mit den logischen Switches verbundenen VMs ordnungsgemäß auf die IP-Adressen der logischen Router-Schnittstellen eingestellt sind.

Ergebnisse

In der folgenden Beispiel-Topologie ist das Standard-Gateway der App-VM 172.16.20.1. Das Standard-Gateway der Web-VM ist 172.16.10.1. Stellen Sie sicher, dass die VMs ihre Standard-Gateways und sich gegenseitig pingen können.

Das Image wird im umgebenden Text beschrieben.

Stellen Sie mit SSH oder über die Konsole eine Verbindung mit dem NSX Manager her und führen Sie die folgenden Befehle aus:
  • Führen Sie alle Informationen zur logischen Router-Instanz auf.

    nsxmgr-l-01a> show logical-router list all
    Edge-id             Vdr Name                      Vdr id              #Lifs
    edge-1              default+edge-1                0x00001388          3
    
  • Führen Sie die Hosts auf, die vom Controller-Cluster Routing-Informationen für den logischen Router empfangen haben.

    nsxmgr-l-01a> show logical-router list dlr edge-1 host
    ID                   HostName                             
    host-25              192.168.210.52                       
    host-26              192.168.210.53                       
    host-24              192.168.110.53

    Die Ausgabe umfasst alle Hosts von allen Hostclustern, die als Mitglieder der Transportzone konfiguriert wurden, welche den mit dem angegebenen logischen Router verbundenen logischen Switch besitzt (in diesem Beispiel edge-1).

  • Führen Sie die Routing-Tabelleninformationen auf, die vom logischen Router zu den Hosts übertragen werden. Einträge der Routing-Tabelle sollten über sämtliche Hosts hinweg einheitlich sein.

    nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 route
    
    VDR default+edge-1 Route Table
    Legend: [U: Up], [G: Gateway], [C: Connected], [I: Interface]
    Legend: [H: Host], [F: Soft Flush] [!: Reject] [E: ECMP]
    
    Destination     GenMask          Gateway         Flags   Ref Origin   UpTime    Interface
    -----------     -------          -------         -----   --- ------   ------    ---------
    0.0.0.0         0.0.0.0          192.168.10.1    UG      1   AUTO     4101      138800000002
    172.16.10.0     255.255.255.0    0.0.0.0         UCI     1   MANUAL   10195     13880000000b
    172.16.20.0     255.255.255.0    0.0.0.0         UCI     1   MANUAL   10196     13880000000a
    192.168.10.0    255.255.255.248  0.0.0.0         UCI     1   MANUAL   10196     138800000002
    192.168.100.0   255.255.255.0    192.168.10.1    UG      1   AUTO     3802      138800000002
    
  • Führen Sie zusätzliche Informationen über den Router aus der Sicht eines Hosts auf. Diese Ausgabe ist hilfreich, um festzustellen, welcher Controller mit dem Host kommuniziert.

    nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 verbose
    
    VDR Instance Information :
    ---------------------------
    
    Vdr Name:                   default+edge-1
    Vdr Id:                     0x00001388
    Number of Lifs:             3
    Number of Routes:           5
    State:                      Enabled
    Controller IP:              192.168.110.203
    Control Plane IP:           192.168.210.52
    Control Plane Active:       Yes
    Num unique nexthops:        1
    Generation Number:          0
    Edge Active:                No
    

Überprüfen Sie das Controller-IP-Feld in der Ausgabe des show logical-router host host-25 dlr edge-1 verbose-Befehls.

Verschlüsseln Sie SSH zu einem Controller und führen Sie die folgenden Befehle aus, um die erlernten Informationen des Controllers zum VNI-, VTEP-, MAC- und ARP-Tabellenstatus anzuzeigen.
  • 192.168.110.202 # show control-cluster logical-switches vni 5000
    VNI      Controller      BUM-Replication ARP-Proxy Connections
    5000     192.168.110.201 Enabled         Enabled   0
    
    Die Ausgabe für VNI 5000 zeigt null Verbindungen an und führt Controller 192.168.110.201 als Besitzer für VNI 5000 auf. Melden Sie sich bei diesem Controller an, um weitere Informationen über VNI 5000 zu sammeln.
    192.168.110.201 # show control-cluster logical-switches vni 5000
    VNI      Controller      BUM-Replication ARP-Proxy Connections
    5000     192.168.110.201 Enabled         Enabled   3
    
    Die Ausgabe auf 192.168.110.201 zeigt drei Verbindungen an. Überprüfen Sie zusätzliche VNIs.
    192.168.110.201 # show control-cluster logical-switches vni 5001
    VNI      Controller      BUM-Replication ARP-Proxy Connections
    5001     192.168.110.201 Enabled         Enabled   3
    
    192.168.110.201 # show control-cluster logical-switches vni 5002
    VNI      Controller      BUM-Replication ARP-Proxy Connections
    5002     192.168.110.201 Enabled         Enabled   3
    Da 192.168.110.201 alle drei VNI-Verbindungen besitzt, sollten auf dem anderen Controller, 192.168.110.203, erwartungsgemäß null Verbindungen angezeigt werden.
    192.168.110.203 # show control-cluster logical-switches vni 5000
    VNI      Controller      BUM-Replication ARP-Proxy Connections
    5000     192.168.110.201 Enabled         Enabled   0
    
  • Pingen Sie vor der Überprüfung der MAC- und ARP-Tabellen eine VM durch die andere VM.
    Von App-VM zu Web-VM:
    vmware@app-vm$ ping 172.16.10.10
    PING 172.16.10.10 (172.16.10.10) 56(84) bytes of data.
    64 bytes from 172.16.10.10: icmp_req=1 ttl=64 time=2.605 ms
    64 bytes from 172.16.10.10: icmp_req=2 ttl=64 time=1.490 ms
    64 bytes from 172.16.10.10: icmp_req=3 ttl=64 time=2.422 ms
    
    Überprüfen Sie die MAC-Tabellen.
    192.168.110.201 # show control-cluster logical-switches mac-table 5000
    VNI      MAC               VTEP-IP         Connection-ID
    5000     00:50:56:a6:23:ae 192.168.250.52  7
    192.168.110.201 # show control-cluster logical-switches mac-table 5001
    VNI      MAC               VTEP-IP         Connection-ID
    5001     00:50:56:a6:8d:72 192.168.250.51  23
    Überprüfen Sie die ARP-Tabellen.
    192.168.110.201 # show control-cluster logical-switches arp-table 5000
    VNI      IP              MAC               Connection-ID
    5000     172.16.20.10    00:50:56:a6:23:ae 7
    192.168.110.201 # show control-cluster logical-switches arp-table 5001
    VNI      IP              MAC               Connection-ID
    5001     172.16.10.10    00:50:56:a6:8d:72 23

Überprüfen Sie die Informationen zum logischen Router. Jede logische Router-Instanz wird durch einen der Controller-Knoten bedient.

Der instance-Unterbefehl des show control-cluster logical-routers-Befehls zeigt eine Liste mit logischen Routern an, die mit diesem Controller verbunden sind.

Der interface-summary-Unterbefehl zeigt die LIFs an, die der Controller vom NSX Manager abgerufen hat. Diese Informationen werden an die Hosts gesendet, die sich in den unter der Transportzone verwalteten Hostclustern befinden.

Der routes-Unterbefehl zeigt die Routing-Tabelle an, die von der virtuellen Appliance des logischen Routers (auch als Kontroll-VM bezeichnet) an diesen Controller gesendet wird. Anders als bei ESXi-Hosts enthält diese Routing-Tabelle keine direkt verbundenen Subnetze, da diese Informationen von der LIF-Konfiguration bereitgestellt werden. Route-Informationen auf den ESXi-Hosts umfassen direkt verbundene Subnetze, da es sich in diesem Fall um eine vom Datenpfad des ESXi-Host verwendete Weiterleitungstabelle handelt.
  • Listen Sie alle logischen Router auf, die mit diesem Controller verbunden sind.
    controller # show control-cluster logical-routers instance all
    LR-Id      LR-Name            Universal Service-Controller Egress-Locale
    0x1388     default+edge-1     false     192.168.110.201    local
    

    Notieren Sie die LR-ID und verwenden Sie sie im folgenden Befehl.

  • controller # show control-cluster logical-routers interface-summary 0x1388
    Interface                        Type   Id           IP[]
    13880000000b                     vxlan  0x1389       172.16.10.1/24
    13880000000a                     vxlan  0x1388       172.16.20.1/24
    138800000002                     vxlan  0x138a       192.168.10.2/29
    
  • controller # show control-cluster logical-routers routes 0x1388
    Destination        Next-Hop[]      Preference Locale-Id                            Source
    192.168.100.0/24   192.168.10.1    110        00000000-0000-0000-0000-000000000000 CONTROL_VM
    0.0.0.0/0          192.168.10.1    0          00000000-0000-0000-0000-000000000000 CONTROL_VM
    
    [root@comp02a:~] esxcfg-route -l
    VMkernel Routes:
    Network          Netmask          Gateway          Interface
    10.20.20.0       255.255.255.0    Local Subnet     vmk1
    192.168.210.0    255.255.255.0    Local Subnet     vmk0
    default          0.0.0.0          192.168.210.1    vmk0
    
  • Zeigen Sie die Verbindungen des Controllers mit dem speziellen VNI an.
    192.168.110.203 # show control-cluster logical-switches connection-table 5000
    Host-IP         Port  ID
    192.168.110.53  26167 4
    192.168.210.52  27645 5
    192.168.210.53  40895 6
    
    192.168.110.202 # show control-cluster logical-switches connection-table 5001
    Host-IP         Port  ID
    192.168.110.53  26167 4
    192.168.210.52  27645 5
    192.168.210.53  40895 6
    

    Bei diesen Host-IP-Adressen handelt es sich nicht um VTEPs, sondern um vmk0-Schnittstellen. Verbindungen zwischen ESXi-Hosts und Controllern werden im Verwaltungsnetzwerk erstellt. Bei den Portnummern hier handelt es sich um flüchtige TCP-Ports, die vom ESXi-Host-IP-Stack zugewiesen werden, wenn der Host eine Verbindung zum Controller herstellt.

  • Auf dem Host können Sie die mit der Portnummer übereinstimmende Controller-Netzwerkverbindung anzeigen.

    [[email protected]:~] #esxcli network ip connection list | grep 26167
    tcp         0       0  192.168.110.53:26167             192.168.110.101:1234  ESTABLISHED     96416  newreno  netcpa-worker
    
  • Zeigen Sie aktive VNIs auf dem Host an. Beobachten Sie, wie die Ausgabe über die Hosts hinweg unterschiedlich ist. Nicht alle VNIs sind auf allen Hosts aktiv. Ein VNI ist auf einem Host aktiv, wenn der Host eine mit dem logischen Switch verbundene VM aufweist.

    [[email protected]:~] # esxcli network vswitch dvs vmware vxlan network list --vds-name Compute_VDS
    VXLAN ID  Multicast IP               Control Plane                        Controller Connection  Port Count  MAC Entry Count  ARP Entry Count  VTEP Count
    --------  -------------------------  -----------------------------------  ---------------------  ----------  ---------------  ---------------  ----------
        5000  N/A (headend replication)  Enabled (multicast proxy,ARP proxy)  192.168.110.203 (up)            1                0                0           0
        5001  N/A (headend replication)  Enabled (multicast proxy,ARP proxy)  192.168.110.202 (up)            1                0                0           0
    
    Hinweis: Führen Sie zur Aktivierung des VXLAN-Namespace in vSphere 6,0 und höher den /etc/init.d/hostd restart-Befehl aus.

    Für logische Switches im Hybrid- oder Unicast-Modus enthält der esxcli network vswitch dvs vmware vxlan network list --vds-name <vds-name>-Befehl folgende Ausgabe:

    • Die Steuerungskomponente ist aktiviert.
    • Multicast-Proxy und ARP-Proxy sind aufgeführt. Der AARP-Proxy wird aufgelistet, auch wenn Sie die IP-Ermittlung deaktiviert haben.
    • Eine gültige Controller-IP-Adresse ist aufgeführt und die Verbindung ist aktiv.
    • Wenn ein logischer Router mit dem ESXi-Host verbunden ist, beträgt die Portanzahl mindestens 1, auch wenn auf dem mit dem logischen Switch verbundenen Host keine VMs vorhanden sind. Dieser eine Port ist der vdrPort, bei welchem es sich um einen speziellen dvPort handelt, der mit dem Kernelmodul des logischen Routers auf dem ESXi-Host verbunden ist.
  • Pingen Sie zuerst mit einer VM die andere VM auf einem anderen Subnetz an und zeigen Sie anschließend die MAC-Tabelle an. Beachten Sie, dass „Inner MAC“ der Eintrag der VM ist, während sich „Outer MAC“ und „Outer IP“ auf den VTEP beziehen.

    ~ # esxcli network vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlan-id=5000
    Inner MAC          Outer MAC          Outer IP        Flags
    -----------------  -----------------  --------------  --------
    00:50:56:a6:23:ae  00:50:56:6a:65:c2  192.168.250.52  00000111
    
    ~ # esxcli network vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlan-id=5001
    Inner MAC          Outer MAC          Outer IP        Flags
    -----------------  -----------------  --------------  --------
    02:50:56:56:44:52  00:50:56:6a:65:c2  192.168.250.52  00000101
    00:50:56:f0:d7:e4  00:50:56:6a:65:c2  192.168.250.52  00000111
    

Nächste Maßnahme

Wenn Sie eine NSX Edge-Appliance installieren, aktiviert NSX das automatische Starten/Herunterfahren von virtuellen Maschinen auf dem Host, wenn die vSphere HA auf dem Cluster deaktiviert ist. Wenn die Appliance-VMs später auf andere Hosts im Cluster migriert werden, ist auf den neuen Hosts das automatische Starten/Herunterfahren von virtuellen Maschinen möglicherweise nicht aktiviert. Aus diesem Grund sollten Sie bei der Installation von NSX Edge-Appliances auf Clustern, auf denen die vSphere HA deaktiviert ist, alle Hosts im Cluster überprüfen, um sicherzustellen, dass das automatische Starten/Herunterfahren aktiviert ist. Weitere Informationen erhalten Sie unter „Bearbeiten der Einstellungen zum Starten/Herunterfahren virtueller Maschinen“ im Dokument Verwaltung virtueller vSphere-Maschinen.

Doppelklicken Sie nach der Bereitstellung des Routers auf die ID des logischen Routers, um weitere Einstellungen zu konfigurieren, wie z. B. Schnittstellen, Routing, Firewall, Bridging und DHCP-Relay.