Ein Tier-0-Gateway verfügt über Downlink-Verbindungen zu Tier-1-Gateways und externe Verbindungen zu physischen Netzwerken.

Wenn Sie ein Tier-0-Gateway von Globaler Manager in NSX-Verbund hinzufügen, schlagen Sie unter Hinzufügen eines Tier-0-Gateways aus Globaler Manager nach.

Sie können den Hochverfügbarkeitsmodus (HA) eines Tier-0-Gateways als „Aktiv-Aktiv“ oder „Aktiv-Standby“ konfigurieren. Die folgenden Dienste werden nur im „Aktiv-Standby“-Modus unterstützt:
  • NAT
  • Load Balancing
  • Statusbehaftete Firewall
  • VPN
Tier-0- und Tier-1-Gateways unterstützen die folgenden Adressierungskonfigurationen für alle Schnittstellen (externe Schnittstellen, Dienstschnittstellen und Downlinks) sowohl in Topologien mit einer Ebene als auch in Topologien mit mehreren Ebenen:
  • Nur IPv4
  • Nur IPv6
  • Dual-Stack – IPv4 und IPv6
Aktivieren Sie für die Verwendung von IPv6 oder der Dual-Stack-Adressierung IPv4 und IPv6 als L3-Weiterleitungsmodus unter Netzwerk > Netzwerkeinstellungen > Globale Netzwerkkonfiguration.

Sie können das Tier-0-Gateway so konfigurieren, dass es EVPN (Ethernet-VPN) unterstützt. Weitere Informationen zum Konfigurieren von EVPN finden Sie unter Ethernet-VPN (EVPN).

Wenn Sie Route Redistribution für das Tier-0- oder Tier-1-Gateway konfigurieren, können Sie aus zwei Gruppen mit Quellen auswählen: Tier-0-Subnetze und angekündigte Tier-1-Subnetze. Die Quellen in der Gruppe der Tier-0-Subnetze sind:
Quelltyp Beschreibung
Verbundene Schnittstellen und Segmente Verteilen Sie alle Subnetze neu, die an Schnittstellen und Routen im Zusammenhang mit Tier-0-Segmenten, der Tier-0-DNS-Weiterleitungs-IP, der lokalen Tier-0-IPSEC-IP und Tier-0-NAT-Typen konfiguriert sind. Verteilen Sie Subnetze erneut, die auf mit Tier-0 verbundenen Segmenten konfiguriert sind.
Statische Routen Verteilen Sie statische Routen erneut, die Sie auf dem Tier-0-Gateway konfiguriert haben.
NAT-IP Verteilen Sie NAT-IPs erneut, die Tier-0 angehören und von NAT-Regeln erkannt werden, die auf dem Tier-0-Gateway konfiguriert sind.
Lokale IPSec-IP Verteilen Sie erneut die IP-Adressen der lokalen IPSEC-Endpoints zum Einrichten von VPN-Sitzungen. Verteilen Sie IPSec-Subnetze neu.
DNS-Weiterleitungs-IP Verteilen Sie Listener-IP für DNS-Abfragen von Clients erneut, die auch als Quell-IP und für die Weiterleitung von DNS-Abfragen an den Upstream-DNS-Server verwendet werden. Verteilen Sie DNS-Weiterleitungs-Subnetze erneut.
EVPN-TEP-IP Verteilen Sie lokale EVPN-Endpoint-Subnetze auf Tier-0 neu.
VRF-übergreifend statisch Verteilen Sie von Tier-0- oder VRF-Instanzen angekündigte IPs erneut.
Die Quellen in der Gruppe der angekündigten Tier-1-Subnetze sind:
Quelltyp Beschreibung
Verbundene Schnittstellen und Segmente Verteilen Sie alle auf Segmenten und Dienstschnittstellen konfigurierten Subnetze erneut. Verteilen Sie Subnetze erneut, die auf mit Tier-1 verbundenen Segmenten konfiguriert sind.
Statische Routen Verteilen Sie alle Subnetze und statischen Routen erneut, die von Tier-1-Gateways angekündigt werden.
NAT-IP Verteilen Sie NAT-IP-Adressen erneut, die dem Tier-1-Gateway angehören und von NAT-Regeln erkannt werden, die auf dem Tier-1-Gateway konfiguriert sind.
LB-VIP Verteilen Sie die IP-Adresse des virtuellen Lastausgleichsservers neu.
LB SNAT-IP Verteilen Sie IP-Adressen oder einen Bereich mit IP-Adressen erneut, die vom Load Balancer für Quell-NAT verwendet werden.
DNS-Weiterleitungs-IP Verteilen Sie Listener-IP für DNS-Abfragen von Clients erneut, die auch als Quell-IP und für die Weiterleitung von DNS-Abfragen an den Upstream-DNS-Server verwendet werden.
Lokaler IPSec-Endpoint Verteilen Sie die IP-Adresse des lokalen IPSec-Endpoints neu.

Proxy-ARP wird automatisch auf einem Tier-0-Gateway aktiviert, wenn eine NAT-Regel oder eine Load Balancer-VIP eine IP-Adresse aus dem Subnetz der externen Schnittstelle des Tier-0-Gateways verwendet. Durch die Aktivierung von Proxy-ARP können Hosts in den Overlay-Segmenten und Hosts in einem VLAN-Segment Netzwerkdatenverkehr gemeinsam austauschen, ohne Änderungen am physischen Netzwerk-Fabric vorzunehmen.

Ein detailliertes Beispiel für einen Paketfluss in einer Proxy-ARP-Topologie finden Sie im NSX-Referenzdesign-Leitfaden im Portal VMware Communities.

Proxy-ARP auf einem Tier-0-Gateway in einer Aktiv/Standby-Konfiguration unterstützt und reagiert auf ARP-Abfragen für die externen und Dienstschnittstellen-IPs. Proxy ARP reagiert auch auf ARP-Abfragen für Dienst-IPs, die sich in einer mit der Permit-Aktion konfigurierten IP-Präfixliste befinden.

Proxy-ARP wird auch auf einem Tier-0-Gateway in einer Aktiv/Aktiv-Konfiguration unterstützt. Allerdings müssen alle Edge-Knoten in der Aktiv/Aktiv-Tier-0-Konfiguration direkt mit dem Netzwerk erreichbar sein, auf dem Proxy-ARP erforderlich ist. Mit anderen Worten müssen Sie die externe Schnittstelle und die Dienstschnittstelle auf allen Edge-Knoten konfigurieren, die zum Tier-0-Gateway gehören, damit das Proxy-ARP funktioniert.

Ab NSX 4.1.1 können Sie die Gesamtanzahl der Routen für ein Tier-0-Gateway mit den folgenden APIs ermitteln. Informationen zu dieser API finden Sie im Handbuch zu NSX-API.

GET /policy/api/v1/infra/tier-0s/{tier-0-id}/number-of-routes
GET /policy/api/v1/global-infra/tier-0s/{tier-0-id}/number-of-routes

Voraussetzungen

Wenn Sie Multicast konfigurieren möchten, schlagen Sie unter Konfigurieren von Multicast auf einem NSX Tier-0 oder Tier-1 nach.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie Netzwerk > Tier-0-Gateways aus.
  3. Wählen Sie Tier-0-Gateway hinzufügen aus.
  4. Geben Sie einen Namen für das Gateway ein.
  5. Wählen Sie einen HA-Modus (Hochverfügbarkeit) aus.
    Der Standardmodus lautet „Aktiv/Aktiv“. Im Aktiv/Aktiv-Modus findet für den Datenverkehr bezüglich aller Mitglieder ein Load Balancing statt. Im Aktiv/Standby-Modus wird der gesamte Datenverkehr von einem ausgewählten aktiven Mitglied abgewickelt. Wenn das aktive Mitglied ausfällt, wird ein anderes Mitglied als aktiv ausgewählt.
  6. Wenn der HA-Modus Aktiv/Standby lautet, wählen Sie einen Failover-Modus aus.
    Option Beschreibung
    Vorbeugend Wenn der bevorzugte Knoten fehlschlägt und wiederhergestellt wird, hat er Vorrang vor seinem Peer und wird zum aktiven Knoten. Der Peer ändert seinen Zustand in Standby.
    Nicht vorbeugend Wenn der bevorzugte Knoten fehlschlägt und wiederhergestellt wird, erfolgt eine Überprüfung, ob der zugehörige Peer der aktive Knoten ist. Ist dies der Fall, hat der bevorzugte Knoten keinen Vorrang vor seinem Peer, und er ist der Standby-Knoten.
  7. (Optional) Wählen Sie einen NSX Edge-Cluster aus.
  8. (Optional) Klicken Sie auf Zusätzliche Einstellungen.
    1. Geben Sie im Feld Internes Transitsubnetz ein Subnetz ein.
      Dieses Subnetz wird für die Kommunikation zwischen Komponenten innerhalb dieses Gateways verwendet. Die Standardeinstellung lautet 169.254.0.0/24.
    2. Geben Sie im Feld T0-T1-Transitsubnetz ein oder mehrere Subnetze ein.
      Diese Subnetze werden für die Kommunikation zwischen diesem Gateway und allen mit ihm verknüpften Tier-1-Gateways verwendet. Nachdem Sie dieses Gateway erstellt und ein Tier-1-Gateway mit ihm verknüpft haben, wird die tatsächliche IP-Adresse angezeigt, die dem Link auf der Tier-0-Gateway-Seite und auf der Tier-1-Gateway-Seite zugewiesen ist. Die Adresse wird unter Zusätzliche Einstellungen > Routerverbindungen auf der Tier-0-Gateway-Seite und auf der Tier-1-Gateway-Seite angezeigt. Die Standardeinstellung lautet 100.64.0.0/16.

      Nachdem das Tier-0-Gateway erstellt wurde, können Sie die T0-T1-Transitsubnetze ändern, indem Sie das Gateway bearbeiten. Beachten Sie, dass dies zu einer kurzen Unterbrechung des Datenverkehrs führt.

    3. Geben Sie im Feld Timer für die Weiterleitung der Aktiv-Benachrichtigung eine Uhrzeit ein.

      Der Timer für die Weiterleitung der Aktiv-Benachrichtigung definiert die Zeit in Sekunden, die der Router warten muss, bevor die Aktiv-Benachrichtigung nach dem Herstellen der ersten BGP-Sitzung gesendet wird. Dieser Timer (zuvor als Weiterleitungsverzögerung bezeichnet) minimiert die Ausfallzeit bei einem Failover für Aktiv/Aktiv- oder Aktiv/Standby-Konfigurationen logischer Router auf NSX Edge, die dynamisches Routing (BGP) verwenden. Er sollte auf die Anzahl Sekunden festgelegt werden, die ein externer Router (TOR) benötigt, um nach der ersten BGP/BFD-Sitzung alle Routen auf diesem Router zu veröffentlichen. Der Timer-Wert sollte direkt proportional zur Anzahl dynamischer Northbound-Routen sein, die der Router lernen muss. Dieser Timer sollte bei Konfigurationen mit einzelnem Edge-Knoten auf 0 festgelegt werden.

  9. Klicken Sie auf Routenunterscheidungsmerkmal für VRF-Gateways, um eine Admin-Adresse für die Routenunterscheidung zu konfigurieren
    Dies ist nur für EVPN im Inline-Modus erforderlich.
  10. (Optional) Fügen Sie ein oder mehrere Tags hinzu.
  11. Klicken Sie auf Speichern.
  12. Für IPv6 können Sie unter Zusätzliche Einstellungen ein ND-Profil und ein DAD-Profil auswählen oder erstellen.
    Diese Profile werden zur Konfiguration der statusfreien Adressenautokonfiguration (SLAAC) und der Erkennung duplizierter Adressen (DAD) für IPv6-Adressen verwendet.
  13. (Optional) Klicken Sie auf EVPN-Einstellungen, um EVPN zu konfigurieren.
    1. Wählen Sie einen EVPN-Modus aus.
      Folgende Optionen stehen zur Verfügung:
      • Inline – In diesem Modus verarbeitet das EVPN den Datenverkehr der Data Plane und der Control Plane.
      • Routeserver – Diese Option ist nur verfügbar, wenn der HA-Modus des Gateways „Aktiv-Aktiv“ lautet. In diesem Modus verarbeitet das EVPN nur den Datenverkehr der Control Plane.
      • Kein EVPN
    2. Wenn der EVPN-Modus Inline lautet, wählen Sie einen EVPN/VXLAN-VNI-Pool aus oder erstellen Sie einen neuen Pool, indem Sie auf das Menüsymbol (3 Punkte) klicken.
    3. Wenn der EVPN-Modus Routeserver lautet, wählen Sie einen EVPN-Mandanten aus oder erstellen Sie einen neuen EVPN-Mandanten, indem Sie auf das Menüsymbol (3 Punkte) klicken.
    4. Klicken Sie im Feld EVPN-Tunnel-Endpoint auf Festlegen, um lokale EVPN-Tunnel-Endpoints hinzuzufügen.
      Wählen Sie für den Tunnel-Endpoint einen Edge-Knoten aus und geben Sie eine IP-Adresse an.
      Optional können Sie den MTU-Wert angeben.
      Hinweis: Stellen Sie sicher, dass die externe Schnittstelle auf dem NSX Edge-Knoten konfiguriert wurde, den Sie für den EVPN-Tunnel-Endpoint auswählen.
  14. Um Route Redistribution zu konfigurieren, klicken Sie auf Route Redistribution und Festlegen.
    Wählen Sie mindestens eine der Quellen aus:
    • Tier-0-Subnetze: Statische Routen, NAT-IP, Lokale IPSec-IP, DNS-Weiterleitungs-IP, EVPN-TEP-IP, Verbundene Schnittstellen und Segmente.

      Unter Verbundene Schnittstellen und Segmente können Sie eine oder mehrere der folgenden Optionen auswählen: Subnetz der Dienstschnittstelle, Subnetz der externen Schnittstelle, Subnetz der Loopback-Schnittstelle, Verbundenes Segment.

    • Angekündigte Tier-1-Subnetze: DNS-Weiterleitungs-IP, Statische Routen, LB-VIP, NAT-IP, LB SNAT-IP, Lokaler IPSec-Endpoint, Verbundene Schnittstellen und Segmente

      Unter Verbundene Schnittstellen und Segmente können Sie Subnetz der Dienstschnittstelle und/oder Verbundenes Segment auswählen.

  15. Klicken Sie zum Konfigurieren von Schnittstellen auf Schnittstellen und GRE-Tunnel und Festlegen für Externe und Dienstschnittstellen.
    1. Klicken Sie auf Schnittstelle hinzufügen.
    2. Geben Sie einen Namen ein.
    3. Wählen Sie einen Typ aus.
      Wenn der HA-Modus Aktiv/Standby lautet, können Sie Extern, Dienst und Loopback auswählen. Wenn der HA-Modus Aktiv/Aktiv ist, sind die Optionen Extern und Loopback verfügbar.
    4. Geben Sie eine IP-Adresse im CIDR-Format ein.
    5. Wählen Sie ein Segment aus.
    6. Wenn der Schnittstellentyp nicht Dienst lautet, wählen Sie einen NSX Edge-Knoten aus.
    7. (Optional) Wenn der Schnittstellentyp nicht Loopback lautet, geben Sie einen MTU-Wert ein.
    8. (Optional) Wenn der Schnittstellentyp Extern lautet, können Sie Multicast aktivieren, indem Sie PIM (Protocol Independent Multicast) auf Aktiviert festlegen.

      Sie können auch Folgendes konfigurieren:

      • Lokaler IGMP-Beitritt – Geben Sie eine oder mehrere IP-Adressen ein. Der IGMP-Beitritt ist ein Debugging-Tool, das zum Generieren eines (*,g)-Beitritts zum Rendezvous-Punkt (RP) und zum Weiterleiten des Datenverkehrs an den Knoten verwendet wird, auf dem der Beitritt ausgestellt wird. Weitere Informationen finden Sie unter Über IGMP-Beitritt.
      • Hello-Intervall (Sekunden) – Der Standardwert ist 30. Der Bereich liegt zwischen 1 und 180. Dieser Parameter gibt die Zeit zwischen den Hello-Meldungen an. Nachdem das Hello-Intervall geändert wurde, wird es erst nach Ablauf des aktuell vorgesehenen PIM-Timers wirksam.
      • Haltezeit (Sekunden) – Der Bereich beträgt 1–630. Muss größer sein als das Hello-Intervall. Die Standardeinstellung entspricht dem 3,5-fachen Hello-Intervall. Wenn ein Nachbar während dieses Zeitintervalls keine Hello-Meldung von diesem Gateway empfängt, betrachtet der Nachbar dieses Gateway als nicht erreichbar.
    9. (Optional) Fügen Sie Tags hinzu und wählen Sie ein ND-Profil aus.
    10. (Optional) Wenn der Schnittstellentyp Extern lautet, können Sie für den URPF-Modus die Einstellung Streng oder Keine auswählen.
      URPF (Unicast Reverse Path Forwarding) ist eine Sicherheitsfunktion.
    11. (Optional) Nachdem Sie eine Schnittstelle erstellt haben, können Sie das Aggregat des ARP-Proxys für das Gateway herunterladen. Klicken Sie dazu auf das Menüsymbol (3 Punkte) für die Schnittstelle und dann auf ARP-Proxys herunterladen.

      Sie können den ARP-Proxy auch für eine bestimmte Schnittstelle herunterladen, indem Sie ein Gateway erweitern und dann Schnittstellen erweitern. Klicken Sie auf eine Schnittstelle, dann auf das Menüsymbol (3 Punkte) und wählen Sie ARP-Proxy herunterladen aus.

      Hinweis: Sie können den ARP-Proxy für Loopback-Schnittstellen nicht herunterladen.
  16. (Optional) Wenn der HA-Modus Aktiv/Standby ist, klicken Sie auf Festlegen neben Hochverfügbarkeits-VIP-Konfiguration, um HA-VIP zu konfigurieren.
    Wenn HA-VIP konfiguriert wurde, ist das Tier-0-Gateway auch dann betriebsbereit, wenn eine externe Schnittstelle nicht verfügbar ist. Der physische Router interagiert nur mit der Hochverfügbarkeits-VIP. HA-VIP soll mit statischem Routing und nicht mit BGP arbeiten.
    1. Klicken Sie auf Hochverfügbarkeits-VIP-Konfiguration hinzufügen.
    2. Geben Sie eine IP-Adresse und eine Subnetzmaske ein.
      Das HA-VIP-Subnetz muss mit dem Subnetz der Schnittstelle identisch sein, an die es gebunden ist.
    3. Wählen Sie zwei Schnittstellen aus zwei verschiedenen Edge-Knoten aus.
  17. Klicken Sie auf Routing, um IP-Präfix-Listen, Community-Listen, statische Routen und Route Maps hinzuzufügen.
  18. Klicken Sie auf Multicast, um Multicast-Routing zu konfigurieren.
  19. Klicken Sie auf BGP, um BGP zu konfigurieren.
  20. Klicken Sie auf OSPF, um OSPF zu konfigurieren. Diese Funktion steht ab NSX 3.1.1 zur Verfügung
  21. (Optional) Gehen Sie wie folgt vor, um die Routing-Tabelle oder die Weiterleitungstabelle herunterzuladen:
    1. Klicken Sie auf das Menüsymbol (3 Punkte) und wählen Sie eine Download-Option aus.
    2. Geben Sie nach Bedarf Werte für Transportknoten, Netzwerk und Quelle ein.
    3. Klicken Sie auf Herunterladen, um die CSV-Datei zu speichern.
  22. (Optional) Gehen Sie wie folgt vor, um die ARP-Tabelle von einem verknüpften Tier-1-Gateway herunterzuladen:
    1. Klicken Sie in der Spalte Verknüpfte Tier-1-Gateways auf die Zahl.
    2. Klicken Sie auf das Menüsymbol (3 Punkte) und dann auf ARP-Tabelle herunterladen.
    3. Wählen Sie einen Edge-Knoten aus.
    4. Klicken Sie auf Herunterladen, um die CSV-Datei zu speichern.

Ergebnisse

Das neue Gateway wird zur Liste hinzugefügt. Sie können die Konfiguration eines Gateways ändern, indem Sie auf das Menüsymbol (3 Punkte) klicken und Bearbeiten auswählen. Für die folgenden Konfigurationen müssen Sie nicht auf Bearbeiten klicken. Sie müssen nur auf das Symbol zum Erweitern (Pfeil nach rechts) für das Gateway klicken, die Einheit suchen und dann auf die Zahl daneben klicken. Beachten Sie, dass die Zahl nicht Null betragen darf. Wenn der Wert Null ist, müssen Sie das Gateway bearbeiten.
  • Im Abschnitt Schnittstellen: Externe und Dienstschnittstellen.
  • Im Abschnitt Routing: IP-Präfix-Listen, Statische Routen, BFD-Peer für statische Route, Community-Listen, Route Maps.
  • Im Abschnitt BGP: BGP-Nachbarn.

Wenn NSX-Verbund konfiguriert ist, gilt diese Funktion zum Neukonfigurieren eines Gateways durch Klicken auf eine Einheit auch für Gateways, die vom globalen Manager (GM) erstellt wurden. Beachten Sie, dass einige Einheiten in einem vom GM erstellten Gateway vom lokalen Manager geändert werden können, andere jedoch nicht. Beispielsweise können IP-Präfix-Listen eines vom GM erstellten Gateways nicht über den lokalen Manager geändert werden. Darüber hinaus können Sie über den lokalen Manager die vorhandenen Externen und Dienstschnittstellen eines vom GM erstellten Gateways bearbeiten, Sie können jedoch keine Schnittstelle hinzufügen.