Ein Tier-0-Gateway verfügt über Downlink-Verbindungen zu Tier-1-Gateways und externe Verbindungen zu physischen Netzwerken.

Wenn Sie ein Tier-0-Gateway aus dem Globaler Manager in NSX-Verbund hinzufügen möchten, finden Sie weitere Informationen unter „Tier-0-Gateway aus dem globalen Manager hinzufügen“.

Sie können den Hochverfügbarkeitsmodus (HA) eines Tier-0-Gateways als „Aktiv-Aktiv“ oder „Aktiv-Standby“ konfigurieren. Die folgenden Dienste werden nur im „Aktiv-Standby“-Modus unterstützt:
  • NAT
  • Load Balancing
  • Statusbehaftete Firewall
  • VPN
Tier-0- und Tier-1-Gateways unterstützen die folgenden Adressierungskonfigurationen für alle Schnittstellen (externe Schnittstellen, Dienstschnittstellen und Downlinks) sowohl in Topologien mit einer Ebene als auch in Topologien mit mehreren Ebenen:
  • Nur IPv4
  • Nur IPv6
  • Dual-Stack – IPv4 und IPv6
Aktivieren Sie für die Verwendung von IPv6 oder der Dual-Stack-Adressierung IPv4 und IPv6 als L3-Weiterleitungsmodus unter Netzwerk > Netzwerkeinstellungen > Globale Netzwerkkonfiguration.

Sie können das Tier-0-Gateway so konfigurieren, dass es EVPN (Ethernet-VPN) unterstützt. Weitere Informationen zum Konfigurieren von EVPN finden Sie unter Ethernet-VPN (EVPN).

Wenn Sie Route Redistribution für das Tier-0- oder Tier-1-Gateway konfigurieren, können Sie aus zwei Gruppen mit Quellen auswählen: Tier-0-Subnetze und angekündigte Tier-1-Subnetze. Die Quellen in der Gruppe der Tier-0-Subnetze sind:
Quelltyp Beschreibung
Verbundene Schnittstellen und Segmente Verteilen Sie alle Subnetze neu, die an Schnittstellen und Routen im Zusammenhang mit Tier-0-Segmenten, der Tier-0-DNS-Weiterleitungs-IP, der lokalen Tier-0-IPSec-IP und Tier-0-NAT-Typen konfiguriert sind. Verteilen Sie Subnetze erneut, die auf mit Tier-0 verbundenen Segmenten konfiguriert sind.
Statische Routen Verteilen Sie statische Routen erneut, die Sie auf dem Tier-0-Gateway konfiguriert haben.
NAT-IP Verteilen Sie NAT-IPs erneut, die Tier-0 angehören und von NAT-Regeln erkannt werden, die auf dem Tier-0-Gateway konfiguriert sind.
Lokale IPSec-IP Verteilen Sie erneut die IP-Adressen der lokalen IPSec-Endpoints zum Einrichten von VPN-Sitzungen. Verteilen Sie IPSec-Subnetze neu.
DNS-Weiterleitungs-IP Verteilen Sie Listener-IP für DNS-Abfragen von Clients erneut, die auch als Quell-IP und für die Weiterleitung von DNS-Abfragen an den Upstream-DNS-Server verwendet werden. Verteilen Sie DNS-Weiterleitungs-Subnetze erneut.
EVPN-TEP-IP Verteilen Sie lokale EVPN-Endpoint-Subnetze auf Tier-0 neu.
VRF-übergreifend statisch Verteilen Sie von Tier-0- oder VRF-Instanzen angekündigte IPs erneut.
Routerverknüpfung Verteilen Sie Routerlink-Port-Subnetze auf Tier-0-Gateways erneut.
Die Quellen in der Gruppe der angekündigten Tier-1- und VPC-Subnetze sind:
Quelltyp Beschreibung
Verbundene Schnittstellen und Segmente/VPC-Subnetze
  • Verteilen Sie Subnetze erneut, die auf Segmenten konfiguriert und vom verbundenen Tier-1-Gateway angekündigt wurden.
  • Verteilen Sie Subnetze erneut, die in NSX VPC konfiguriert und von der verbundenen NSX VPC angekündigt wurden.
  • NSX VPC kündigt alle seine öffentlichen Subnetze dem verbundenen Tier-0-Gateway an.
Statische Routen Verteilen Sie alle Subnetze und statischen Routen erneut, die von Tier-1-Gateways oder NSX VPCs angekündigt werden.
NAT-IP Verteilen Sie NAT-IP-Adressen erneut, die dem Tier-1-Gateway oder der NSX VPC angehören und von NAT-Regeln erkannt werden, die auf dem Tier-1-Gateway oder der NSX VPC konfiguriert sind.
LB-VIP Verteilen Sie die IP-Adresse des virtuellen Lastausgleichsservers neu.
LB SNAT-IP Verteilen Sie IP-Adressen oder einen Bereich mit IP-Adressen erneut, die vom Load Balancer für Quell-NAT verwendet werden.
DNS-Weiterleitungs-IP Verteilen Sie Listener-IP für DNS-Abfragen von Clients erneut, die auch als Quell-IP und für die Weiterleitung von DNS-Abfragen an den Upstream-DNS-Server verwendet werden.
Lokaler IPSec-Endpoint Verteilen Sie die IP-Adresse des lokalen IPSec-Endpoints neu.

Proxy-ARP wird automatisch auf einem Tier-0-Gateway aktiviert, wenn eine NAT-Regel oder eine Load Balancer-VIP eine IP-Adresse aus dem Subnetz der externen Schnittstelle des Tier-0-Gateways verwendet. Durch die Aktivierung von Proxy-ARP können Hosts in den Overlay-Segmenten und Hosts in einem VLAN-Segment Netzwerkdatenverkehr gemeinsam austauschen, ohne Änderungen am physischen Netzwerk-Fabric vorzunehmen.

Ein detailliertes Beispiel für einen Paketfluss in einer Proxy-ARP-Topologie finden Sie im NSX-Referenzdesign-Leitfaden im Portal VMware Communities.

Proxy-ARP auf einem Tier-0-Gateway in einer Aktiv/Standby-Konfiguration unterstützt und reagiert auf ARP-Abfragen für die externen und Dienstschnittstellen-IPs. Proxy ARP reagiert auch auf ARP-Abfragen für Dienst-IPs, die sich in einer mit der Permit-Aktion konfigurierten IP-Präfixliste befinden.

Proxy-ARP wird auch auf einem Tier-0-Gateway in einer Aktiv/Aktiv-Konfiguration unterstützt. Allerdings müssen alle Edge-Knoten in der Aktiv/Aktiv-Tier-0-Konfiguration direkt mit dem Netzwerk erreichbar sein, auf dem Proxy-ARP erforderlich ist. Mit anderen Worten müssen Sie die externe Schnittstelle und die Dienstschnittstelle auf allen Edge-Knoten konfigurieren, die zum Tier-0-Gateway gehören, damit das Proxy-ARP funktioniert.

Ab NSX 4.1.1 können Sie die Gesamtanzahl der Routen für ein Tier-0-Gateway mit den folgenden APIs ermitteln. Informationen zu diesen APIs finden Sie im Handbuch zu NSX-API.

GET /policy/api/v1/infra/tier-0s/{tier-0-id}/number-of-routes
GET /policy/api/v1/global-infra/tier-0s/{tier-0-id}/number-of-routes

Voraussetzungen

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie Netzwerk > Tier-0-Gateways aus.
  3. Wählen Sie Tier-0-Gateway hinzufügen aus.
  4. Geben Sie einen Namen für das Gateway ein.
  5. Wählen Sie einen HA-Modus (Hochverfügbarkeit) aus.
    Der Standardmodus lautet „Aktiv/Aktiv“. Im Aktiv/Aktiv-Modus findet für den Datenverkehr bezüglich aller Mitglieder ein Load Balancing statt. Im Aktiv/Standby-Modus wird der gesamte Datenverkehr von einem ausgewählten aktiven Mitglied abgewickelt. Wenn das aktive Mitglied ausfällt, wird ein anderes Mitglied als aktiv ausgewählt.
  6. Wenn der HA-Modus Aktiv/Standby lautet, wählen Sie einen Failover-Modus aus.
    Option Beschreibung
    Vorbeugend Wenn der bevorzugte Knoten fehlschlägt und wiederhergestellt wird, hat er Vorrang vor seinem Peer und wird zum aktiven Knoten. Der Peer ändert seinen Zustand in Standby.
    Nicht vorbeugend Wenn der bevorzugte Knoten fehlschlägt und wiederhergestellt wird, erfolgt eine Überprüfung, ob der zugehörige Peer der aktive Knoten ist. Ist dies der Fall, hat der bevorzugte Knoten keinen Vorrang vor seinem Peer, und er ist der Standby-Knoten.
  7. (Optional) Wählen Sie einen NSX Edge-Cluster aus.
  8. (Optional) Klicken Sie auf Festlegen, um DHCP Config auf dem Gateway hinzuzufügen.
  9. (Optional) Klicken Sie auf Zusätzliche Einstellungen.
    1. Geben Sie im Feld Internes Transitsubnetz ein Subnetz ein.
      Dieses Subnetz wird für die Kommunikation zwischen Komponenten innerhalb dieses Gateways verwendet. Die Standardeinstellung lautet 169.254.0.0/24.
    2. Geben Sie im Feld T0-T1-Transitsubnetz ein oder mehrere Subnetze ein.
      Diese Subnetze werden für die Kommunikation zwischen diesem Gateway und allen mit ihm verknüpften Tier-1-Gateways verwendet. Nachdem Sie dieses Gateway erstellt und ein Tier-1-Gateway mit ihm verknüpft haben, wird die tatsächliche IP-Adresse angezeigt, die dem Link auf der Tier-0-Gateway-Seite und auf der Tier-1-Gateway-Seite zugewiesen ist. Die Adresse wird unter Zusätzliche Einstellungen > Routerverbindungen auf der Tier-0-Gateway-Seite und auf der Tier-1-Gateway-Seite angezeigt. Die Standardeinstellung lautet 100.64.0.0/16.

      Nachdem das Tier-0-Gateway erstellt wurde, können Sie die T0-T1-Transitsubnetze ändern, indem Sie das Gateway bearbeiten. Beachten Sie, dass dies zu einer kurzen Unterbrechung des Datenverkehrs führt.

    3. Geben Sie im Feld Timer für die Weiterleitung der Aktiv-Benachrichtigung eine Uhrzeit ein.

      Der Timer für die Weiterleitung der Aktiv-Benachrichtigung definiert die Zeit in Sekunden, die der Router warten muss, bevor die Aktiv-Benachrichtigung nach dem Herstellen der ersten BGP-, BFD- oder OSPF-Sitzung erscheint. Dieser Timer (zuvor als Weiterleitungsverzögerung bezeichnet) minimiert die Ausfallzeit bei einem Failover für Aktiv/Aktiv- oder Aktiv/Standby-Konfigurationen von Tier-0-Gateways auf NSX Edge, die dynamisches Routing (BGP oder OSPF) verwenden. Er sollte auf die Anzahl Sekunden festgelegt werden, die ein externer Router (TOR) benötigt, um nach der ersten BGP/OSPF-Sitzung alle Routen auf NSX Edge zu veröffentlichen. Der Standardwert dieses Timers beträgt 5 Sekunden. Er sollte für Umgebungen mit einem größeren Umfang an Routen, die auf NSX Edge erlernt wurden, auf einen höheren Wert festgelegt werden. Im Allgemeinen muss ein Tier-0-Gateway über redundante Edge-Knoten verfügen. Wenn keine redundanten Edge-Knoten verfügbar sind, sollte dieser Timer auf 0 festgelegt werden.

  10. Klicken Sie auf Routenunterscheidungsmerkmal für VRF-Gateways, um eine Admin-Adresse für die Routenunterscheidung zu konfigurieren
    Dies ist nur für EVPN im Inline-Modus erforderlich.
  11. Um jedem Edge-Knoten für EVPN-VRF einen eindeutigen Route Distinguisher aus dem Route Distinguisher-Pool zuzuweisen, aktivieren Sie den Switch Route Distinguisher pro Edge. Beachten Sie, dass für den Inline-Modus von EVPN der Route Distinguisher entweder aus einem manuell konfigurierten Pool oder automatisch zugewiesen wird. Für den Route-Server-Modus von EVPN wird der Route Distinguisher nur aus einem manuell konfigurierten Pool zugewiesen.
  12. (Optional) Fügen Sie ein oder mehrere Tags hinzu.
  13. Klicken Sie auf Speichern.
  14. Für IPv6 können Sie unter Zusätzliche Einstellungen ein ND-Profil und ein DAD-Profil auswählen oder erstellen.
    Diese Profile werden zur Konfiguration der statusfreien Adressenautokonfiguration (SLAAC) und der Erkennung duplizierter Adressen (DAD) für IPv6-Adressen verwendet.
  15. (Optional) Klicken Sie auf EVPN-Einstellungen, um EVPN zu konfigurieren.
    1. Wählen Sie einen EVPN-Modus aus.
      Folgende Optionen stehen zur Verfügung:
      • Inline – In diesem Modus verarbeitet das EVPN den Datenverkehr der Data Plane und der Control Plane.
      • Routeserver – Diese Option ist nur verfügbar, wenn der HA-Modus des Gateways „Aktiv-Aktiv“ lautet. In diesem Modus verarbeitet das EVPN nur den Datenverkehr der Control Plane.
      • Kein EVPN
    2. Wenn der EVPN-Modus Inline lautet, wählen Sie einen EVPN/VXLAN-VNI-Pool aus oder erstellen Sie einen neuen Pool, indem Sie auf das Menüsymbol (3 Punkte) klicken.
    3. Wenn der EVPN-Modus Routeserver lautet, wählen Sie einen EVPN-Mandanten aus oder erstellen Sie einen neuen EVPN-Mandanten, indem Sie auf das Menüsymbol (3 Punkte) klicken.
    4. Klicken Sie im Feld EVPN-Tunnel-Endpoint auf Festlegen, um lokale EVPN-Tunnel-Endpoints hinzuzufügen.
      Wählen Sie für den Tunnel-Endpoint einen Edge-Knoten aus und geben Sie eine IP-Adresse an.
      Optional können Sie den MTU-Wert angeben.
      Hinweis: Stellen Sie sicher, dass die externe Schnittstelle auf dem NSX Edge-Knoten konfiguriert wurde, den Sie für den EVPN-Tunnel-Endpoint auswählen.
  16. Um Route Redistribution zu konfigurieren, klicken Sie auf Route Redistribution und Festlegen.
    Wählen Sie mindestens eine der Quellen aus:
    • Tier-0-Subnetze: Statische Routen, NAT-IP, Lokale IPSec-IP, DNS-Weiterleitungs-IP, Routerverknüpfung, Verbundene Schnittstellen und Segmente.

      Unter Verbundene Schnittstellen und Segmente können Sie eine oder mehrere der folgenden Optionen auswählen: Subnetz der Dienstschnittstelle, Subnetz der externen Schnittstelle, Subnetz der Loopback-Schnittstelle, Verbundenes Segment.

    • Tier-0-Subnetze: Statische Routen, NAT-IP, Lokale IPSec-IP, DNS-Weiterleitungs-IP, EVPN-TEP-IP, Verbundene Schnittstellen und Segmente.

      Unter Verbundene Schnittstellen und Segmente können Sie eine oder mehrere der folgenden Optionen auswählen: Subnetz der Dienstschnittstelle, Subnetz der externen Schnittstelle, Subnetz der Loopback-Schnittstelle, Verbundenes Segment.

    • Angekündigte Tier-1-Subnetze: DNS-Weiterleitungs-IP, Statische Routen, LB-VIP, NAT-IP, LB SNAT-IP, Lokaler IPSec-Endpoint, Verbundene Schnittstellen und Segmente

      Unter Verbundene Schnittstellen und Segmente können Sie Subnetz der Dienstschnittstelle und/oder Verbundenes Segment auswählen.

  17. Klicken Sie zum Konfigurieren von Schnittstellen auf Schnittstellen und GRE-Tunnel und Festlegen für Externe und Dienstschnittstellen.
    1. Klicken Sie auf Schnittstelle hinzufügen.
    2. Geben Sie einen Namen ein.
    3. Wählen Sie einen Speicherort aus. Alle integrierten Sites sind zur Auswahl verfügbar.
    4. Wählen Sie einen Typ aus.
      Wenn der HA-Modus Aktiv/Standby lautet, können Sie Extern, Dienst und Loopback auswählen. Wenn der HA-Modus Aktiv/Aktiv ist, sind die Optionen Extern und Loopback verfügbar.
    5. Geben Sie eine IP-Adresse im CIDR-Format ein.
    6. Wählen Sie ein Segment aus.
    7. Wenn der Schnittstellentyp nicht Dienst lautet, wählen Sie einen NSX Edge-Knoten aus.
    8. (Optional) Wenn der Schnittstellentyp nicht Loopback lautet, geben Sie einen MTU-Wert ein.
    9. (Optional) Wenn der Schnittstellentyp Extern lautet, können Sie Multicast aktivieren, indem Sie PIM (Protocol Independent Multicast) auf Aktiviert festlegen.

      Sie können auch Folgendes konfigurieren:

      • Lokaler IGMP-Beitritt – Geben Sie eine oder mehrere IP-Adressen ein. Der IGMP-Beitritt ist ein Debugging-Tool, das zum Generieren eines (*,g)-Beitritts zum Rendezvous-Punkt (RP) und zum Weiterleiten des Datenverkehrs an den Knoten verwendet wird, auf dem der Beitritt ausgestellt wird. Weitere Informationen finden Sie unter Über IGMP-Beitritt.
      • Hello-Intervall (Sekunden) – Der Standardwert ist 30. Der Bereich liegt zwischen 1 und 180. Dieser Parameter gibt die Zeit zwischen den Hello-Meldungen an. Nachdem das Hello-Intervall geändert wurde, wird es erst nach Ablauf des aktuell vorgesehenen PIM-Timers wirksam.
      • Haltezeit (Sekunden) – Der Bereich beträgt 1–630. Muss größer sein als das Hello-Intervall. Die Standardeinstellung entspricht dem 3,5-fachen Hello-Intervall. Wenn ein Nachbar während dieses Zeitintervalls keine Hello-Meldung von diesem Gateway empfängt, betrachtet der Nachbar dieses Gateway als nicht erreichbar.
    10. (Optional) Fügen Sie Tags hinzu und wählen Sie ein ND-Profil aus.
    11. (Optional) Wenn der Schnittstellentyp Extern lautet, können Sie für den URPF-Modus die Einstellung Streng oder Keine auswählen.
      Asymmetrisches Routing oder Weiterleitung wird nicht empfohlen. Daher ist URPF-Modus standardmäßig auf Streng festgelegt.

      Stellen Sie für symmetrisches Routing sicher, dass die Konfiguration zwischen Tier-0-Gateway und Northbound-Routern so ist, dass derselbe Satz von Präfixen von jedem Edge-Knoten innerhalb eines Tier-0-Gateways auf einer bestimmten Site angekündigt wird. Außerdem muss derselbe Satz von Präfixen aus TORs auf allen Edge-Knoten eines Tier-0-Gateways auf einer bestimmten Site erlernt werden.

      Wenn BGP zwischen dem Tier-0-Gateway und Northbound-Routern vorhanden ist und Sie Routenzuordnungen oder Filter verwenden, stellen Sie sicher, dass diese Konfiguration für eingehende und ausgehende Richtungen für alle Edge-Knoten konsistent ist.

      Für eine Verbundumgebung mit primären und sekundären Sites sollten Sie längere AS-Pfade für BGP-Ankündigungen auf sekundären Site-BGP-Nachbarn ankündigen, um die asymmetrische Weiterleitung aufzulösen.

      Wenn asymmetrisches Routing erforderlich ist, legen Sie URPF-Modus auf Keine fest.

    12. (Optional) Nachdem Sie eine Schnittstelle erstellt haben, können Sie das Aggregat des ARP-Proxys für das Gateway herunterladen. Klicken Sie dazu auf das Menüsymbol (3 Punkte) für die Schnittstelle und dann auf ARP-Proxys herunterladen.

      Sie können den ARP-Proxy auch für eine bestimmte Schnittstelle herunterladen, indem Sie ein Gateway erweitern und dann Schnittstellen erweitern. Klicken Sie auf eine Schnittstelle, dann auf das Menüsymbol (3 Punkte) und wählen Sie ARP-Proxy herunterladen aus.

      Hinweis: Sie können den ARP-Proxy für Loopback-Schnittstellen nicht herunterladen.
  18. (Optional) Wenn der HA-Modus Aktiv/Standby ist, klicken Sie auf Festlegen neben Hochverfügbarkeits-VIP-Konfiguration, um HA-VIP zu konfigurieren.
    Wenn HA-VIP konfiguriert wurde, ist das Tier-0-Gateway auch dann betriebsbereit, wenn eine externe Schnittstelle nicht verfügbar ist. Der physische Router interagiert nur mit der Hochverfügbarkeits-VIP. HA-VIP soll mit statischem Routing und nicht mit BGP arbeiten.
    1. Klicken Sie auf Hochverfügbarkeits-VIP-Konfiguration hinzufügen.
    2. Geben Sie eine IP-Adresse und eine Subnetzmaske ein.
      Das HA-VIP-Subnetz muss mit dem Subnetz der Schnittstelle identisch sein, an die es gebunden ist.
    3. Wählen Sie einen Speicherort aus. Alle integrierten Sites sind zur Auswahl verfügbar.
    4. Stellen Sie sicher, dass die VIP-Konfiguration für den HA-Modus aktiviert ist.
    5. Wählen Sie zwei Schnittstellen aus zwei verschiedenen Edge-Knoten aus.
  19. Klicken Sie auf Routing, um IP-Präfix-Listen, Community-Listen, statische Routen und Route Maps hinzuzufügen.
  20. Klicken Sie auf Multicast, um Multicast-Routing zu konfigurieren.
  21. Klicken Sie auf BGP, um BGP zu konfigurieren.
  22. Klicken Sie auf OSPF, um OSPF zu konfigurieren. Diese Funktion steht ab NSX 3.1.1 zur Verfügung
  23. (Optional) Gehen Sie wie folgt vor, um die Routing-Tabelle oder die Weiterleitungstabelle herunterzuladen:
    1. Klicken Sie auf das Menüsymbol (3 Punkte) und wählen Sie eine Download-Option aus.
    2. Geben Sie nach Bedarf Werte für Transportknoten, Netzwerk und Quelle ein.
    3. Klicken Sie auf Herunterladen, um die CSV-Datei zu speichern.
  24. (Optional) Gehen Sie wie folgt vor, um die ARP-Tabelle von einem verknüpften Tier-1-Gateway herunterzuladen:
    1. Klicken Sie in der Spalte Verknüpfte Tier-1-Gateways auf die Zahl.
    2. Klicken Sie auf das Menüsymbol (3 Punkte) und dann auf ARP-Tabelle herunterladen.
    3. Wählen Sie einen Edge-Knoten aus.
    4. Klicken Sie auf Herunterladen, um die CSV-Datei zu speichern.

Ergebnisse

Das neue Gateway wird zur Liste hinzugefügt. Sie können die Konfiguration eines Gateways ändern, indem Sie auf das Menüsymbol (3 Punkte) klicken und Bearbeiten auswählen. Für die folgenden Konfigurationen müssen Sie nicht auf Bearbeiten klicken. Sie müssen nur auf das Symbol zum Erweitern (Pfeil nach rechts) für das Gateway klicken, die Einheit suchen und dann auf die Zahl daneben klicken. Beachten Sie, dass die Zahl nicht Null betragen darf. Wenn der Wert Null ist, müssen Sie das Gateway bearbeiten.
  • Im Abschnitt Schnittstellen: Externe und Dienstschnittstellen.
  • Im Abschnitt Routing: IP-Präfix-Listen, Statische Routen, BFD-Peer für statische Route, Community-Listen, Route Maps.
  • Im Abschnitt BGP: BGP-Nachbarn.

Wenn NSX-Verbund konfiguriert ist, gilt diese Funktion zum Neukonfigurieren eines Gateways durch Klicken auf eine Einheit auch für Gateways, die vom globalen Manager (GM) erstellt wurden. Beachten Sie, dass einige Einheiten in einem vom GM erstellten Gateway vom lokalen Manager geändert werden können, andere jedoch nicht. Beispielsweise können IP-Präfix-Listen eines vom GM erstellten Gateways nicht über den lokalen Manager geändert werden. Darüber hinaus können Sie über den lokalen Manager die vorhandenen Externen und Dienstschnittstellen eines vom GM erstellten Gateways bearbeiten, Sie können jedoch keine Schnittstelle hinzufügen.