Durch das Konfigurieren von OSPF in einem Edge Services Gateway (ESG) kann das ESG lernen und Routen ankündigen. Der gängigste Einsatzbereich von OSPF in einer ESG ist die Verknüpfung zwischen dem ESG und einem logischen (Distributed) Router. Dadurch kann das ESG in Bezug auf die logischen Schnittstellen (LIFs) lernen, die mit dem logischen Router verbunden sind. Dieses Ziel kann mit OSPF, IS-IS, BGP oder statischem Routing erreicht werden.
OSPF-Routing-Richtlinien bieten einen dynamischen Vorgang des Datenverkehrs-Load-Balancer zwischen Routen mit gleichen Kosten.
Ein OSPF-Netzwerk wird in Routing-Areas unterteilt, um den Datenverkehrsfluss zu optimieren und die Größe der Routing-Tabellen zu begrenzen. Eine Area ist eine logische Sammlung von OSPF-Netzwerken, Routern und Links, die über dieselbe Area-Identifikation verfügen.
Wenn Sie eine Router-ID aktivieren, wird das Textfeld standardmäßig mit der IP-Adresse der Uplink-Schnittstelle des ESG ausgefüllt.
Prozedur
Melden Sie sich beim vSphere Web Client an.
Klicken Sie auf Netzwerk und Sicherheit (Networking & Security) > NSX Edges.
Doppelklicken Sie auf ein ESG.
Klicken Sie auf Verwalten (Manage) > Routing > OSPF.
Aktivieren Sie OSPF.
Klicken Sie neben OSPF-Konfiguration (OSPF Configuration) auf Bearbeiten (Edit) und dann auf OSPF aktivieren (Enable OSPF).
(Optional) Klicken Sie auf Graceful Restart aktiviert (Enable Graceful Restart), damit die Paketweiterleitung beim Neustart von OSPF-Diensten nicht unterbrochen wird.
(Optional) Klicken Sie auf Default Originate aktiviert (Enable Default Originate), damit sich ESG selbst als ein Standard-Gateway bei seinen Peers ankündigen kann.
Konfigurieren Sie die OSPF-Areas.
(Optional) Löschen Sie die „Not-So-Stubby-Area“ (NSSA) 51, die standardmäßig konfiguriert wird.
Klicken Sie in Area-Definition (Area Definitions) auf Hinzufügen (Add).
Geben Sie eine Area-ID ein. NSX Edge unterstützt eine Area-ID in Form einer Dezimalzahl. Gültige Werte sind 0 bis 4294967295.
Wählen Sie unter Typ (Type) die Option Normal oder NSSA aus.
NSSAs verhindert das Überfluten von AS-externen Verbindungsstatus-Ankündigungen (LSAs) in NSSAs. Sie verwenden das Standardrouting zu externen Zielen. Daher müssen NSSAs am Rand einer OSPF-Routing-Domäne abgelegt werden. NSSA kann externe Routen in die OSPF-Routing-Domäne importieren, sodass der Transit-Dienst für kleine Routing-Domänen bereitgestellt wird, die nicht Teil der OSPF-Routing-Domäne sind.
(Optional) Wenn Sie den NSSA-Bereichstyp auswählen, erscheint die NSSA-Konvertierungsrolle (NSSA Translator Role). Aktivieren Sie das Kontrollkästchen Immer (Always), um Typ-7-LSAs in Typ-5-LSAs zu konvertieren. Alle Typ-7-LSAs werden durch den NSSA-Typ in Typ-5-LSAs konvertiert.
(Optional) Wählen Sie den Typ der Authentifizierung (Authentication). OSPF führt die Authentifizierung auf der Area-Ebene aus.
Daher müssen alle Router innerhalb einer Area über dieselbe Authentifizierung und das entsprechend konfigurierte Kennwort verfügen. Damit die MD5-Authentifizierung funktionieren kann, müssen sowohl der Empfangs- als auch der Übertragungsrouter über denselben MD5-Schlüssel verfügen.
Keine (None): Keine Authentifizierung ist erforderlich; dies ist der Standardwert.
Kennwort (Password): Bei dieser Authentifizierungsmethode wird ein Kennwort im übertragenen Paket eingeschlossen.
MD5: Diese Authentifizierungsmethode verwendet die MD5-Verschlüsselung (Message Digest Type 5). Ein MD5-Prüfsummenwert ist im übertragenen Paket eingeschlossen.
Geben Sie für den Authentifizierungstyp Kennwort (Password) oder MD5 das Kennwort bzw. den MD5-Schlüssel ein.
Wichtig:
Wenn NSX Edge mit aktiviertem OSPF Graceful Restart für HA konfiguriert ist und MD5 für die Authentifizierung verwendet wird, kann OSPF nicht ordnungsgemäß neu gestartet werden. Nachbarschaften werden erst nach dem Kulanzzeitraum auf den OSPF-Hilfsknoten gebildet.
Bei aktiviertem FIPS-Modus können Sie die MD5-Authentifizierung nicht konfigurieren.
NSX Data Center for vSphere verwendet immer einen Schlüssel-ID-Wert von 1. Jedes Gerät, das nicht von NSX Data Center for vSphere verwaltet wird und als Peer eines Edge Services Gateways oder logischen verteilten Routers fungiert, muss für die Verwendung einer Schlüssel-ID mit dem Wert 1 konfiguriert werden, wenn MD5-Authentifizierung verwendet wird. Andernfalls kann keine OSPF-Sitzung hergestellt werden.
Ordnen Sie die Schnittstellen den Areas :zu.
Klicken Sie in Zuordnung von Area zu Schnittstelle (Area to Interface Mapping) auf Hinzufügen (Add), um die Schnittstelle zuzuordnen, die zur OSPF-Area gehört.
Wählen Sie die Schnittstelle, die Sie zuordnen möchten, und der OSPF-Area, der sie zugeordnet werden soll.
(Optional) Bearbeiten Sie die standardmäßigen OSPF -Einstellungen.
In den meisten Fällen ist es empfehlenswert, die standardmäßigen OSPF-Einstellungen beizubehalten. Wenn Sie Änderungen an den Einstellungen vornehmen, stellen Sie sicher, dass die OSPF-Peers dieselben Einstellungen verwenden.
Hallo-Intervall (Hello Interval) zeigt das Standardintervall zwischen Hallo-Paketen an, die über die Schnittstelle gesendet werden.
Ausfallintervall (Dead Interval) zeigt das Standardintervall an, während dessen mindestens ein Hallo-Paket von einem Nachbarn empfangen werden muss, bevor der Router den Nachbarn als ausgefallen einstuft.
Priorität (Priority) zeigt die Standardpriorität der Schnittstelle an. Die Schnittstelle mit der höchsten Priorität ist der festgelegte Router.
Kosten (Cost) einer Schnittstelle zeigt den Standard-Overhead an, der für das Senden von Paketen über die Schnittstelle erforderlich ist. Die Kosten einer Schnittstelle sind umgekehrt proportional zur Bandbreite dieser Schnittstelle. Je größer die Bandbreite ist, desto geringer sind die Kosten.
Klicken Sie auf Änderungen veröffentlichen (Publish Changes).
Stellen Sie sicher, dass durch die Route Redistribution und die Firewallkonfiguration die richtigen Routen angekündigt werden können.
Beispiel: OSPF wird in einem Edge Services Gateway konfiguriert
Ein einfaches NSX-Szenario, bei dem OSPF verwendet wird, liegt vor, wenn wie hier dargestellt ein logischer Router und ein Edge Services Gateway OSPF-Nachbarn sind.
Das ESG kann über eine Bridge, einen physischen Router oder eine Uplink-Portgruppe auf einem vSphere Distributed Switch mit der Außenwelt verbunden sein, wie in der folgenden Abbildung dargestellt.
Die Konfigurationseinstellungen auf der Seite
Globale Konfiguration sind wie folgt:
vNIC: Uplink
Gateway-IP (Gateway IP): 192.168.100.1. Das Standard-Gateway des ESG ist die Uplink-Schnittstelle des ESG zum externen Peer.
Router-ID (Router ID): 192.168.100.3. Die Router-ID ist die Uplink-Schnittstelle des ESG. Also die IP-Adresse, die dem externen Peer gegenüberliegt.
Die Konfigurationseinstellungen auf der Seite
OSPF-Konfiguration sind wie folgt:
Area-Definition (Area Definition):
Area-ID: 0
Typ: Normal
Authentifizierung: keine
Die interne Schnittstelle (die Schnittstelle, die dem logischen Router gegenüberliegt) wird dem Bereich wie folgt zugeordnet:
vNIC: Intern
Area-ID: 0
Hallo-Intervall (Sekunden): 10
Sehr geehrte(r)-Intervall (Sekunden): 40
Priorität: 128
Kosten: 1
Die verbundenen Routen werden erneut in OSPF verteilt, sodass der OSPF-Nachbar (der logische Router) Informationen über das Uplink-Netzwerk von ESG abrufen kann. Überprüfen Sie die erneut verteilten Routen, indem Sie im linken Navigationsbereich auf
Route Redistribution klicken und die folgenden Einstellungen überprüfen:
Status der Route Redistribution (Route Redistribution Status) zeigt, dass OSPF aktiviert ist.
Tabelle der Route Redistribution (Route Redistribution Table) zeigt Folgendes:
Lernender: OSPF
Von: Verbunden
Präfix: Beliebig
Aktion: Zulassen
Hinweis:
Zusätzlich kann OSPF zwischen dem ESG und seinem externen Peer-Router konfiguriert werden, aber üblicherweise verwendet dieser Link BGP für die Routen-Ankündigung.
Stellen Sie sicher, dass das ESG die externen Routen von OSPF von dem logischen Router abrufen kann.
Um die Konnektivität zu überprüfen, stellen Sie sicher, dass ein externes Gerät in der physischen Architektur die VMs pingen kann.
Beispiel:
PS C:\Users\Administrator> ping 172.16.10.10
Pinging 172.16.10.10 with 32 bytes of data:
Reply from 172.16.10.10: bytes=32 time=5ms TTL=61
Reply from 172.16.10.10: bytes=32 time=1ms TTL=61
Ping statistics for 172.16.10.10:
Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 5ms, Average = 3ms
PS C:\Users\Administrator> ping 172.16.20.10
Pinging 172.16.20.10 with 32 bytes of data:
Reply from 172.16.20.10: bytes=32 time=2ms TTL=61
Reply from 172.16.20.10: bytes=32 time=1ms TTL=61
Ping statistics for 172.16.20.10:
Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 2ms, Average = 1ms