Ein Tier-0-Gateway besitzt Downlink-Verbindungen zu Tier-1-Gateways und Uplink-Verbindungen zu physischen Netzwerken.

Wenn Sie ein Tier-0-Gateway von Globaler Manager in NSX-Verbund hinzufügen, schlagen Sie unter Hinzufügen eines Tier-0-Gateways aus Globaler Manager nach.

Sie können den HA-Modus (Hochverfügbarkeit) eines Tier-0-Gateways als Aktiv/Aktiv oder Aktiv/Standby konfigurieren. Die folgenden Dienste werden nur im Aktiv/Standby-Modus unterstützt:
  • NAT
  • Load Balancing
  • Statusbehaftete Firewall
  • VPN
Tier-0- und Tier-1-Gateways unterstützen die folgenden Adressierungskonfigurationen für alle Schnittstellen (externe Schnittstellen, Dienstschnittstellen und Downlinks) sowohl in Topologien mit einer Ebene als auch in Topologien mit mehreren Ebenen:
  • Nur IPv4
  • Nur IPv6
  • Dual-Stack – IPv4 und IPv6
Aktivieren Sie für die Verwendung von IPv6 oder der Dual-Stack-Adressierung IPv4 und IPv6 als Layer-3-Weiterleitungsmodus unter Netzwerk > Netzwerkeinstellungen > Globale Netzwerkkonfiguration.

Sie können das Tier-0-Gateway so konfigurieren, dass es EVPN (Ethernet-VPN) unterstützt. Weitere Informationen zum Konfigurieren von EVPN finden Sie unter Konfigurieren von EVPN.

Wenn Sie Route Redistribution für das Tier-0- oder Tier-1-Gateway konfigurieren, können Sie aus zwei Gruppen mit Quellen auswählen: Tier-0-Subnetze und angekündigte Tier-1-Subnetze. Die Quellen in der Gruppe der Tier-0-Subnetze sind:
Quelltyp Beschreibung
Verbundene Schnittstellen und Segmente Dazu gehören Subnetze externer Schnittstellen, Subnetze der Dienstschnittstelle und Segment-Subnetze, die mit dem Tier-0-Gateway verbunden sind.
Statische Routen Statische Routen, die Sie auf dem Tier-0-Gateway konfiguriert haben.
NAT-IP NAT-IP-Adressen, die dem Tier-0-Gateway angehören und von NAT-Regeln erkannt werden, die auf dem Tier-0-Gateway konfiguriert sind.
Lokale IPSec-IP IP-Adresse des lokalen IPSEC-Endpoints zum Einrichten von VPN-Sitzungen.
DNS-Weiterleitungs-IP Listener-IP für DNS-Abfragen von Clients, wird auch als Quell-IP verwendet, um DNS-Abfragen an den vorgeschalteten DNS-Server weiterzuleiten.
EVPN-TEP-IP Wird zum Neuverteilen von lokalen EVPN-Endpoint-Subnetzen auf dem Tier-0-Gateway verwendet.
Die Quellen in der Gruppe der angekündigten Tier-1-Subnetze sind:
Quelltyp Beschreibung
Verbundene Schnittstellen und Segmente Dazu gehören Segment-Subnetze, die mit dem Tier-1-Gateway verbunden sind und die Subnetze der Dienstschnittstelle, die auf dem Tier-1-Gateway konfiguriert sind.
Statische Routen Statische Routen, die Sie auf dem Ebene-1-Gateway konfiguriert haben.
NAT-IP NAT-IP-Adressen, die dem Tier-1-Gateway angehören und von NAT-Regeln erkannt werden, die auf dem Tier-1-Gateway konfiguriert sind.
LB-VIP IP-Adresse des virtuellen Servers für Load Balancing.
LB SNAT-IP IP-Adresse oder ein Bereich mit IP-Adressen, die vom Load Balancer für Quell-NAT verwendet werden.
DNS-Weiterleitungs-IP Listener-IP für DNS-Abfragen von Clients, wird auch als Quell-IP verwendet, um DNS-Abfragen an den vorgeschalteten DNS-Server weiterzuleiten.
Lokaler IPSec-Endpoint IP-Adresse des lokalen IPSec-Endpoints.

Bei einem Tier-0-Gateway verarbeitet Proxy ARP die ARP-Abfragen für die IP-Adressen der externen Schnittstelle und der Dienstschnittstelle. Ab NSX-T Data Center 3.0.2 verarbeitet Proxy ARP auch ARP-Abfragen für Dienst-IPs, die sich in einer mit der Permit-Aktion konfigurierten IP-Präfixliste befinden.

Voraussetzungen

Wenn Sie Multicast konfigurieren möchten, schlagen Sie unter Konfigurieren von Multicast nach.

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Wählen Sie Netzwerk > Tier-0-Gateways aus.
  3. Klicken Sie auf Tier-0-Gateway hinzufügen.
  4. Geben Sie einen Namen für das Gateway ein.
  5. Wählen Sie einen HA-Modus (Hochverfügbarkeit) aus.
    Der Standardmodus lautet Aktiv/Aktiv. Im Aktiv/Aktiv-Modus findet für den Datenverkehr bezüglich aller Mitglieder ein Load Balancing statt. Im Aktiv/Standby-Modus wird der gesamte Datenverkehr von einem ausgewählten aktiven Mitglied abgewickelt. Wenn das aktive Mitglied ausfällt, wird ein anderes Mitglied als aktiv ausgewählt.
  6. Wenn der HA-Modus Aktiv/Standby lautet, wählen Sie einen Failover-Modus aus.
    Option Beschreibung
    Vorbeugend Wenn der bevorzugte Knoten fehlschlägt und wiederhergestellt wird, hat er Vorrang vor seinem Peer und wird zum aktiven Knoten. Der Peer ändert seinen Zustand in Standby.
    Nicht vorbeugend Wenn der bevorzugte Knoten fehlschlägt und wiederhergestellt wird, erfolgt eine Überprüfung, ob der zugehörige Peer der aktive Knoten ist. Ist dies der Fall, hat der bevorzugte Knoten keinen Vorrang vor seinem Peer, und er ist der Standby-Knoten.
  7. (Optional) Wählen Sie einen NSX Edge-Cluster aus.
  8. (Optional) Klicken Sie auf Zusätzliche Einstellungen.
    1. Geben Sie im Feld Internes Transitsubnetz ein Subnetz ein.
      Dieses Subnetz wird für die Kommunikation zwischen Komponenten innerhalb dieses Gateways verwendet. Die Standardeinstellung lautet 169.254.0.0/24.
    2. Geben Sie im Feld T0-T1-Transitsubnetz ein oder mehrere Subnetze ein.
      Diese Subnetze werden für die Kommunikation zwischen diesem Gateway und allen mit ihm verknüpften Tier-1-Gateways verwendet. Nachdem Sie dieses Gateway erstellt und ein Tier-1-Gateway mit ihm verknüpft haben, wird die tatsächliche IP-Adresse angezeigt, die dem Link auf der Tier-0-Gateway-Seite und auf der Tier-1-Gateway-Seite zugewiesen ist. Die Adresse wird unter Zusätzliche Einstellungen > Routerverbindungen auf der Tier-0-Gateway-Seite und auf der Tier-1-Gateway-Seite angezeigt. Die Standardeinstellung lautet 100.64.0.0/16.
  9. Klicken Sie auf Routenunterscheidungsmerkmal für VRF-Gateways, um eine Admin-Adresse für die Routenunterscheidung zu konfigurieren
    Dies ist nur für EVPN im Inline-Modus erforderlich.
  10. (Optional) Fügen Sie ein oder mehrere Tags hinzu.
  11. Klicken Sie auf Speichern.
  12. Für IPv6 können Sie unter Zusätzliche Einstellungen ein ND-Profil und ein DAD-Profil auswählen oder erstellen.
    Diese Profile werden zur Konfiguration der statusfreien Adressenautokonfiguration (SLAAC) und der Erkennung duplizierter Adressen (DAD) für IPv6-Adressen verwendet.
  13. (Optional) Klicken Sie auf EVPN-Einstellungen, um EVPN zu konfigurieren.
    1. Wählen Sie einen EVPN-Modus aus.
      Folgende Optionen stehen zur Verfügung:
      • Inline – In diesem Modus verarbeitet das EVPN den Datenverkehr der Data Plane und der Control Plane.
      • Routeserver – Diese Option ist nur verfügbar, wenn der HA-Modus des Gateways „Aktiv-Aktiv“ lautet. In diesem Modus verarbeitet das EVPN nur den Datenverkehr der Control Plane.
      • Kein EVPN
    2. Wenn der EVPN-Modus Inline lautet, wählen Sie einen EVPN/VXLAN-VNI-Pool aus oder erstellen Sie einen neuen Pool, indem Sie auf das Menüsymbol (3 Punkte) klicken.
    3. Wenn der EVPN-Modus Routeserver lautet, wählen Sie einen EVPN-Mandanten aus oder erstellen Sie einen neuen EVPN-Mandanten, indem Sie auf das Menüsymbol (3 Punkte) klicken.
    4. Klicken Sie im Feld EVPN-Tunnel-Endpoint auf Festlegen, um lokale EVPN-Tunnel-Endpoints hinzuzufügen.
      Wählen Sie für den Tunnel-Endpoint einen Edge-Knoten aus und geben Sie eine IP-Adresse an.
      Optional können Sie den MTU-Wert angeben.
      Hinweis: Stellen Sie sicher, dass die externe Schnittstelle auf dem NSX Edge-Knoten konfiguriert wurde, den Sie für den EVPN-Tunnel-Endpoint auswählen.
  14. Um Route Redistribution zu konfigurieren, klicken Sie auf Route Redistribution und Festlegen.
    Wählen Sie mindestens eine der Quellen aus:
    • Tier-0-Subnetze: Statische Routen, NAT-IP, Lokale IPSec-IP, DNS-Weiterleitungs-IP, EVPN-TEP-IP, Verbundene Schnittstellen und Segmente.

      Unter Verbundene Schnittstellen und Segmente können Sie eine oder mehrere der folgenden Optionen auswählen: Subnetz der Dienstschnittstelle, Subnetz der externen Schnittstelle, Subnetz der Loopback-Schnittstelle, Verbundenes Segment.

    • Angekündigte Tier-1-Subnetze: DNS-Weiterleitungs-IP, Statische Routen, LB-VIP, NAT-IP, LB SNAT-IP, Lokaler IPSec-Endpoint, Verbundene Schnittstellen und Segmente

      Unter Verbundene Schnittstellen und Segmente können Sie Subnetz der Dienstschnittstelle und/oder Verbundenes Segment auswählen.

  15. Um Schnittstellen zu konfigurieren, klicken Sie auf Schnittstellen und Festlegen.
    1. Klicken Sie auf Schnittstelle hinzufügen.
    2. Geben Sie einen Namen ein.
    3. Wählen Sie einen Typ aus.
      Wenn der HA-Modus Aktiv/Standby lautet, können Sie Extern, Dienst und Loopback auswählen. Wenn der HA-Modus Aktiv/Aktiv ist, sind die Optionen Extern und Loopback verfügbar.
    4. Geben Sie eine IP-Adresse im CIDR-Format ein.
    5. Wählen Sie ein Segment aus.
    6. Wenn der Schnittstellentyp nicht Dienst lautet, wählen Sie einen NSX Edge-Knoten aus.
    7. (Optional) Wenn der Schnittstellentyp nicht Loopback lautet, geben Sie einen MTU-Wert ein.
    8. (Optional) Wenn der Schnittstellentyp Extern lautet, können Sie Multicast aktivieren, indem Sie PIM (Protocol Independent Multicast) auf Aktiviert festlegen.
      Sie können auch Folgendes konfigurieren:
      • Lokaler IGMP-Beitritt – Geben Sie eine oder mehrere IP-Adressen ein. Der IGMP-Beitritt ist ein Debugging-Tool, das zum Generieren eines (*,g)-Beitritts zum Rendezvous-Punkt (RP) und zum Weiterleiten des Datenverkehrs an den Knoten verwendet wird, auf dem der Beitritt ausgestellt wird. Weitere Informationen finden Sie unter Über IGMP-Beitritt.
      • Hello-Intervall (Sekunden) – Der Standardwert ist 30. Der Bereich liegt zwischen 1 und 180. Dieser Parameter gibt die Zeit zwischen den Hello-Meldungen an. Nachdem das Hello-Intervall geändert wurde, wird es erst nach Ablauf des aktuell vorgesehenen PIM-Timers wirksam.
      • Haltezeit (Sekunden) – Der Bereich beträgt 1–630. Muss größer sein als das Hello-Intervall. Die Standardeinstellung entspricht dem 3,5-fachen Hello-Intervall. Wenn ein Nachbar während dieses Zeitintervalls keine Hello-Meldung von diesem Gateway empfängt, betrachtet der Nachbar dieses Gateway als nicht erreichbar.
    9. (Optional) Fügen Sie Tags hinzu und wählen Sie ein ND-Profil aus.
    10. (Optional) Wenn der Schnittstellentyp Extern lautet, können Sie für den URPF-Modus die Einstellung Streng oder Keine auswählen.
      URPF (Unicast Reverse Path Forwarding) ist eine Sicherheitsfunktion.
    11. Nachdem Sie eine Schnittstelle erstellt haben, können Sie die ARP-Tabelle herunterladen. Klicken Sie dazu auf das Menüsymbol (drei Punkte) für die Schnittstelle und wählen Sie ARP-Tabelle herunterladen aus.
  16. (Optional) Wenn der HA-Modus Aktiv/Standby ist, klicken Sie auf Festlegen neben Hochverfügbarkeits-VIP-Konfiguration, um HA-VIP zu konfigurieren.
    Wenn HA-VIP konfiguriert wurde, ist das Tier-0-Gateway auch dann betriebsbereit, wenn eine externe Schnittstelle nicht verfügbar ist. Der physische Router interagiert nur mit der Hochverfügbarkeits-VIP. HA-VIP soll mit statischem Routing und nicht mit BGP arbeiten.
    1. Klicken Sie auf Hochverfügbarkeits-VIP-Konfiguration hinzufügen.
    2. Geben Sie eine IP-Adresse und eine Subnetzmaske ein.
      Das HA-VIP-Subnetz muss mit dem Subnetz der Schnittstelle identisch sein, an die es gebunden ist.
    3. Wählen Sie zwei Schnittstellen aus zwei verschiedenen Edge-Knoten aus.
  17. Klicken Sie auf Routing, um IP-Präfix-Listen, Community-Listen, statische Routen und Route Maps hinzuzufügen.
  18. Klicken Sie auf Multicast, um Multicast-Routing zu konfigurieren.
  19. Klicken Sie auf BGP, um BGP zu konfigurieren.
  20. Klicken Sie auf OSPF, um OSPF zu konfigurieren.
    Diese Funktion steht ab NSX-T Data Center 3.1.1 zur Verfügung.
  21. (Optional) Wenn Sie die Routing-Tabelle oder die Weiterleitungstabelle herunterladen möchten, klicken Sie auf das Menüsymbol (drei Punkte) und wählen Sie eine Downloadoption aus. Geben Sie die Werte für Transportknoten, Netzwerk und Quelle nach Bedarf ein und speichern Sie die CSV-Datei.

Ergebnisse

Das neue Gateway wird zur Liste hinzugefügt. Sie können die Konfiguration eines Gateways ändern, indem Sie auf das Menüsymbol (3 Punkte) klicken und Bearbeiten auswählen. Für die folgenden Konfigurationen müssen Sie nicht auf Bearbeiten klicken. Sie müssen nur auf das Symbol zum Erweitern (Pfeil nach rechts) für das Gateway klicken, die Einheit suchen und dann auf die Zahl daneben klicken. Beachten Sie, dass die Zahl nicht Null betragen darf. Wenn der Wert Null ist, müssen Sie das Gateway bearbeiten.
  • Im Abschnitt Schnittstellen: Externe und Dienstschnittstellen.
  • Im Abschnitt Routing: IP-Präfix-Listen, Statische Routen, BFD-Peer für statische Route, Community-Listen, Route Maps.
  • Im Abschnitt BGP: BGP-Nachbarn.

Wenn NSX-Verbund konfiguriert ist, gilt diese Funktion zum Neukonfigurieren eines Gateways durch Klicken auf eine Einheit auch für Gateways, die vom globalen Manager (GM) erstellt wurden. Beachten Sie, dass einige Einheiten in einem vom GM erstellten Gateway vom lokalen Manager geändert werden können, andere jedoch nicht. Beispielsweise können IP-Präfix-Listen eines vom GM erstellten Gateways nicht über den lokalen Manager geändert werden. Darüber hinaus können Sie über den lokalen Manager die vorhandenen Externen und Dienstschnittstellen eines vom GM erstellten Gateways bearbeiten, Sie können jedoch keine Schnittstelle hinzufügen.