Una puerta de enlace de nivel 0 tiene conexiones de vínculo inferior con puertas de enlace de nivel 1, y conexiones externas con redes físicas.

Si va a agregar una puerta de enlace de nivel 0 desde Administrador global en Federación de NSX, consulte Agregar una puerta de enlace de nivel 0 desde Global Manager.

Puede configurar el modo de HA (alta disponibilidad) de una puerta de enlace de nivel 0 para que sea activo-activo o activo-en espera. Los siguientes servicios solo se admiten en el modo activo-en espera:
  • NAT
  • Equilibrio de carga
  • Firewall con estado
  • VPN
Las puertas de enlace de nivel 0 y nivel 1 admiten las siguientes configuraciones de direccionamiento para todas las interfaces (interfaces externas, interfaces de servicio y vínculos inferiores) en las topologías de un solo nivel y de varios niveles:
  • Solo IPv4
  • Solo IPv6
  • Pila dual: IPv4 e IPv6
Para usar direcciones IPv6 o de pila dual, habilite IPv4 e IPv6 como el modo de redireccionamiento de capa 3 en Redes > Configuración de red > Configuración de redes globales.

Puede configurar la puerta de enlace de nivel 0 para que sea compatible con EVPN (VPN de Ethernet). Para obtener más información sobre la configuración de EVPN, consulte VPN de Ethernet (EVPN).

Si configura la redistribución de rutas para la puerta de enlace de nivel 0, puede elegir entre dos grupos de orígenes: subredes de nivel 0 y subredes de nivel 1 anunciadas. Los orígenes del grupo de subredes de nivel 0 son:
Tipo de origen Descripción
Interfaces y segmentos conectados Redistribuya todas las subredes configuradas en las interfaces y las rutas relacionadas con los segmentos de nivel 0, la IP del reenviador de DNS de nivel 0, la IP local de IPsec de nivel 0 y los tipos de NAT de nivel 0. Redistribuye subredes configuradas en segmentos conectados al nivel 0.
Rutas estáticas Redistribuya las rutas estáticas que configuró en la puerta de enlace de nivel 0.
IP de NAT Direcciones IP de NAT redistribuidas propiedad del nivel 0 que se detectan a partir de reglas NAT configuradas en la puerta de enlace de nivel 0.
IP local de IPsec Redistribuya la dirección IP del endpoint de IPsec local para establecer sesiones de VPN. Redistribuir subredes de IPsec.
IP del reenviador de DNS IP del agente de escucha redistribuida para las consultas de DNS de clientes que también se utiliza como IP de origen para reenviar las consultas de DNS al servidor DNS upstream. Redistribuya subredes de reenviadores DNS.
IP de TEP de EVPN Redistribuya las subredes de endpoint local de EVPN en el nivel 0.
VRF interno estático Redistribuya direcciones IP anunciadas por las instancias de VRF o de nivel 0.
Vínculo de enrutador Redistribuya las subredes de puerto de vínculo de enrutador en las puertas de enlace de nivel 0.
Los orígenes del grupo de subredes de VPC y de nivel 1 anunciadas son:
Tipo de origen Descripción
Subredes de VPC/interfaces y segmentos conectados
  • Redistribuye las subredes configuradas en segmentos y anunciadas desde la puerta de enlace de nivel 1 conectada.
  • Redistribuye las subredes configuradas en NSX VPC y anunciadas desde la NSX VPC conectada.
  • NSX VPC anuncia todas sus subredes públicas a la puerta de enlace de nivel 0 conectada.
Rutas estáticas Redistribuye todas las subredes y las rutas estáticas anunciadas por las puertas de enlace de nivel 1 o las VPC de NSX.
IP de NAT Direcciones IP de NAT redistribuidas propiedad de la puerta de enlace de nivel 1 o la NSX VPC que se detectan a partir de reglas NAT configuradas en la puerta de enlace de nivel 1 o la NSX VPC.
VIP de equilibrador de carga Redistribuye la dirección IP del servidor virtual de equilibrio de carga.
IP de SNAT del equilibrador de carga Dirección IP o rango de direcciones IP redistribuidas que utiliza el equilibrador de carga para la NAT de origen.
IP del reenviador de DNS IP del agente de escucha redistribuida para las consultas de DNS de clientes que también se utiliza como IP de origen para reenviar las consultas de DNS al servidor DNS upstream.
Endpoint local de IPsec Redistribuya la dirección IP del endpoint local de IPsec.

El ARP de proxy se habilita automáticamente en una puerta de enlace de nivel 0 cuando una regla NAT o una VIP de equilibrador de carga utiliza una dirección IP de la subred de la interfaz externa de puerta de enlace de nivel 0. Al habilitar proxy-ARP, los hosts de los segmentos superpuestos y los hosts de un segmento de VLAN pueden intercambiar tráfico de red entre sí sin implementar ningún cambio en el tejido de redes físicas.

Para obtener un ejemplo detallado de un flujo de paquetes en una topología ARP de proxy, consulte la Guía de diseño de referencia de NSX en el portal VMware Communities.

Se admite ARP de proxy en una puerta de enlace de nivel 0 en una configuración activo-en espera, y responde a las consultas de ARP para las direcciones IP de la interfaz de servicio y externas. ARP de proxy también responde las consultas de ARP para las IP de servicio que se encuentran en una lista de prefijos de IP configurada con la acción de Permit.

El ARP de proxy también se admite en una puerta de enlace de nivel 0 en una configuración activo-activo. Sin embargo, todos los nodos de Edge en la configuración de nivel 0 activa-activa deben tener acceso directo a la red en la que se requiere ARP de proxy. En otras palabras, debe configurar la interfaz externa y la interfaz de servicio en todos los nodos de Edge que participan en la puerta de enlace de nivel 0 para que funcione el ARP de proxy.

A partir de NSX 4.1.1, puede averiguar el número total de rutas de una puerta de enlace de nivel 0 con las siguientes API. Para obtener más información sobre las API, consulte la Guía de NSX API.

GET /policy/api/v1/infra/tier-0s/{tier-0-id}/number-of-routes
GET /policy/api/v1/global-infra/tier-0s/{tier-0-id}/number-of-routes

Requisitos previos

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Seleccione Redes > Puertas de enlace de nivel 0.
  3. Seleccione Agregar puerta de enlace de nivel 0.
  4. Introduzca un nombre para la puerta de enlace.
  5. Seleccione un modo de HA.
    El modo predeterminado es activo-activo. En el modo activo/activo, la carga del tráfico se equilibra en todos los miembros. En el modo activo/espera, un miembro activo elegido procesa todo el tráfico. Si el miembro activo no realiza este proceso, se elige otro nuevo miembro para que sea activo.
  6. Si el modo de alta disponibilidad es activo-en espera, seleccione un modo de conmutación por error.
    Opción Descripción
    Preferente Si se produce un error en el nodo preferente y se soluciona, reemplazará al nodo del mismo nivel y se convertirá en el nodo activo. El estado de este nodo cambiará a en espera.
    No preferente Si se produce un error en el nodo preferente y se soluciona, comprobará si el nodo del mismo nivel es el activo. Si es así, el nodo preferente no reemplazará al nodo del mismo nivel y será el nodo que esté en espera.
  7. (opcional) Seleccione un clúster de NSX Edge.
  8. (opcional) Haga clic en Establecer para agregar una Configuración de DHCP en la puerta de enlace.
  9. (opcional) Haga clic en Configuración adicional.
    1. En el campo Subred de tránsito interna, introduzca una subred.
      Esta será la subred que se utilizará para la comunicación entre los componentes de esta puerta de enlace. La subred predeterminada es 169.254.0.0/24.
    2. En el campo Subredes de tránsito T0-T1, introduzca una o varias subredes.
      Estas subredes se utilizan para la comunicación entre esta puerta de enlace y todas las puertas de enlace de nivel 1 vinculadas a ella. Después de crear esta puerta de enlace y vincularle una puerta de enlace de nivel 1, verá la dirección IP real asignada al vínculo en el lado de la puerta de enlace de nivel 0 y en el lado de la puerta de enlace de nivel 1. La dirección se muestra en Configuración adicional > Vínculos del enrutador en la página de la puerta de enlace de nivel 0 y en la página de la puerta de enlace de nivel 1. La subred predeterminada es 100.64.0.0/16.

      Después de crear la puerta de enlace de nivel 0, puede cambiar las Subredes de tránsito T0-T1 editando la puerta de enlace. Tenga en cuenta que esto provocará una breve interrupción en el tráfico.

    3. En el campo Temporizador de reenvío, introduzca una hora.

      El temporizador de reenvíos define el tiempo en segundos que el enrutador debe esperar antes de enviar la notificación de activación después de se inicie la primera sesión BGP, BFD u OSPF. Este temporizador (antes conocido como retraso de reenvío) minimiza el periodo de inactividad si se producen conmutaciones por error en configuraciones activa-activa o activa-en espera de puertas de enlace de nivel 0 de NSX Edge que usen un enrutamiento dinámico (BGP u OSPF). Se debe configurar según el número de segundos que un enrutador externo (TOR) tarda en detectar todas las rutas a NSX Edge después de que se inicie la primera sesión BGP/OSPF. El valor predeterminado de esta opción es 5 segundos. Debe aumentarse a un valor mayor para entornos con una escala mayor de rutas aprendidas en NSX Edge. En general, una puerta de enlace de nivel 0 debe tener nodos de Edge redundantes. Si los nodos de Edge redundantes no están disponibles, este temporizador se debe establecer en 0.

  10. Haga clic en Distintivo de ruta para puertas de enlace VRF para configurar una dirección de usuario admin de distintivo de ruta.
    Esto solo es necesario para EVPN en el modo Inline.
  11. Para asignar un distintivo de ruta único del grupo de distintivos de ruta a cada nodo de Edge para VRF de EVPN, active el conmutador Distintivo de ruta por nodo de Edge. Tenga en cuenta que, para el modo en línea de EVPN, el distintivo de ruta se asigna desde un grupo configurado manualmente o se asigna automáticamente. Para el modo de servidor de enrutamiento de EVPN, el distintivo de ruta se asigna solo desde un grupo configurado manualmente.
  12. (opcional) Agregue una o varias etiquetas.
  13. Haga clic en Guardar.
  14. En el caso de IPv6, en Configuración adicional, puede seleccionar o crear un Perfil de ND y un Perfil de DAD.
    Estos perfiles se utilizan para establecer la configuración automática de direcciones sin estado (SLAAC) y la detección de direcciones duplicadas (DAD) de las direcciones IPv6.
  15. (opcional) Haga clic en Configuración de EVPN para configurar EVPN.
    1. Seleccione un modo EVPN.
      Las opciones son:
      • Inline: en este modo, EVPN controla el tráfico del plano de control y del plano de datos.
      • Servidor de enrutamiento: disponible solo si el modo de HA de la puerta de enlace es Activo-Activo. En este modo, EVPN controla solo el tráfico del plano de control.
      • Sin EVPN
    2. Si el modo EVPN está en estado Inline, seleccione un grupo de VNI/VXLAN o cree un nuevo grupo haciendo clic en el icono de menú (3 puntos).
    3. Si el modo EVPN es Servidor de enrutamiento, seleccione un tenant de EVPN o cree un nuevo arrendatario de EVPN haciendo clic en el icono de menú (3 puntos).
    4. En el campo Endpoint de túnel de EVPN, haga clic en Establecer para agregar endpoints de túnel local de EVPN.
      Para el endpoint de túnel, seleccione un nodo de Edge y especifique una dirección IP.
      De manera opcional, puede especificar la MTU.
      Nota: Asegúrese de que la interfaz externa esté configurada en el nodo de NSX Edge que seleccione para el endpoint de túnel de EVPN.
  16. Para configurar la redistribución de rutas, haga clic en Redistribución de rutas y luego en Establecer.
    Seleccione uno o varios de los orígenes:
    • Subredes de nivel 0: Rutas estáticas, IP de NAT, IP local de IPsec, IP del reenviador de DNS, Vínculo de enrutador e Interfaces y segmentos conectados.

      En Interfaces y segmentos conectados, puede seleccionar una o varias de las siguientes opciones: Subred de interfaz de servicio, Subred de interfaz externa, Subred de interfaz de bucle invertido y Segmento conectado.

    • Subredes de nivel 0: Rutas estáticas, IP de NAT, IP local de IPsec, IP del reenviador de DNS, IP de TEP de EVPN e Interfaces y segmentos conectados.

      En Interfaces y segmentos conectados, puede seleccionar una o varias de las siguientes opciones: Subred de interfaz de servicio, Subred de interfaz externa, Subred de interfaz de bucle invertido y Segmento conectado.

    • Subredes de nivel 1 anunciadas: IP del reenviador de DNS, Rutas estáticas, VIP de equilibrador de carga, IP de NAT, IP de SNAT del equilibrador de carga, Endpoint local de IPsec y Interfaces y segmentos conectados.

      En Interfaces y segmentos conectados, puede seleccionar Subred de interfaz de servicio o Segmento conectado.

  17. Para configurar las interfaces, haga clic en Interfaces y túneles GRE y, a continuación, en Establecer para Interfaces externas y de servicio.
    1. Haga clic en Agregar interfaz.
    2. Introduzca un nombre.
    3. Seleccione una ubicación. Todos los sitios incorporados estarán disponibles para su selección.
    4. Seleccione un tipo.
      Si el modo de HA es activo-en espera, las opciones son Externa, Servicio y Bucle invertido. Si el modo de HA es activo-activo, las opciones son Externa y Bucle invertido.
    5. Introduzca una dirección IP en formato CIDR.
    6. Seleccione un segmento.
    7. Si el tipo de interfaz no es Servicio, seleccione un nodo de NSX Edge.
    8. (opcional) Si el tipo de interfaz no es Bucle invertido, introduzca un valor de MTU.
    9. (opcional) Si el tipo de interfaz es Externo, puede habilitar la multidifusión estableciendo PIM (multidifusión independiente del protocolo) como Habilitado.

      También puede configurar lo siguiente:

      • Unión de IGMP local: introduzca una o varias direcciones IP. La unión de IGMP es una herramienta de depuración que se utiliza para generar (*,g) uniones con punto de encuentro (RP) y hacer que el tráfico se reenvíe al nodo en el que se emitió la unión. Para obtener más información, consulte Acerca de la unión de IGMP.
      • Intervalo de saludo (segundos): el valor predeterminado es 30. El rango es 1-180. Este parámetro especifica el tiempo entre los mensajes de saludo. Después de cambiar el intervalo de saludo, este solo se aplica después de que caduque el temporizador de PIM programado actualmente.
      • Período de retención (segundos): el rango es 1-630. Debe ser mayor que el intervalo de saludo. El valor predeterminado es 3,5 veces el intervalo de saludo. Si un vecino no recibe un mensaje de saludo de esta puerta de enlace durante este intervalo, el vecino considerará que no se puede acceder a esta puerta de enlace.
    10. (opcional) Agregue etiquetas y seleccione un perfil ND.
    11. (opcional) Si el tipo de interfaz es Externo, para Modo URPF, puede seleccionar Estricto o Ninguno.
      No se recomienda el enrutamiento asimétrico ni el reenvío. Por tanto, el Modo URPF está establecido en Estricto de forma predeterminada.

      Para el enrutamiento simétrico, asegúrese de que la configuración entre la puerta de enlace de nivel 0 y los enrutadores en dirección norte sea tal que se anuncie el mismo conjunto de prefijos desde cada nodo de Edge dentro de una puerta de enlace de nivel 0 en un sitio determinado. Además, se debe aprender el mismo conjunto de prefijos de los TOR en todos los nodos de Edge de una puerta de enlace de nivel 0 en un sitio determinado.

      Si tiene BGP entre la puerta de enlace de nivel 0 y los enrutadores en dirección norte, y utiliza mapas de rutas o filtros, asegúrese de que esta configuración sea coherente para las direcciones entrantes y salientes de todos los nodos de Edge.

      Para un entorno de federación con sitios principales y secundarios, debe anunciar rutas AS más largas para los anuncios de BGP en los vecinos de BGP del sitio secundario a fin de resolver el reenvío asimétrico.

      Si es necesario un enrutamiento asimétrico, establezca el Modo URPF en Ninguno.

    12. (opcional) Después de crear una interfaz, puede descargar el conjunto de proxies ARP para la puerta de enlace haciendo clic en el icono de menú (tres puntos) de la interfaz y seleccionando Descargar proxies de ARP.

      También puede descargar el proxy de ARP para una interfaz específica. Para ello, expanda una puerta de enlace y, a continuación, expanda Interfaces. Haga clic en una interfaz, haga clic en el icono de menú (tres puntos) y seleccione Descargar proxy de ARP.

      Nota: No se puede descargar el proxy de ARP para las interfaces de bucle invertido.
  18. (opcional) Si el modo de HA es activo-en espera, haga clic en Establecer junto a Agregar configuración de VIP de alta disponibilidad para configurar la VIP de HA.
    Con la VIP de HA configurada, la puerta de enlace de nivel 0 estará operativa aunque haya una interfaz externa inactiva. El enrutador físico interactúa solo con la VIP de alta disponibilidad La VIP de alta disponibilidad está pensada para funcionar con enrutamiento estático y no con BGP.
    1. Haga clic en Agregar configuración de VIP de alta disponibilidad.
    2. Introduzca una dirección IP y una máscara de subred.
      La subred VIP de HA debe ser la misma que la subred de la interfaz a la que está vinculada.
    3. Seleccione una ubicación. Todos los sitios incorporados estarán disponibles para su selección.
    4. Asegúrese de que la configuración de VIP esté habilitada para el modo de HA.
    5. Seleccione dos interfaces de dos nodos de Edge diferentes.
  19. Haga clic en Enrutamiento para agregar listas de prefijos de IP, listas de comunidad, rutas estáticas y mapas de rutas.
  20. Haga clic en Multidifusión para configurar el enrutamiento de multidifusión.
  21. Haga clic en BGP para configurar BGP.
  22. Haga clic en OSPF para configurar OSPF. Esta función está disponible a partir de NSX 3.1.1
  23. (opcional) Para descargar la tabla de enrutamiento o la tabla de reenvío, haga lo siguiente:
    1. Haga clic en el icono de menú (tres puntos) y seleccione una opción de descarga.
    2. Introduzca los valores de Nodo de transporte, Redes y Origen según sea necesario.
    3. Haga clic en Descargar para guardar el archivo CSV.
  24. (opcional) Para descargar la tabla ARP de una puerta de enlace de nivel 1 vinculada, haga lo siguiente:
    1. En la columna Puertas de enlace de nivel 1 vinculadas, haga clic en el número.
    2. Haga clic en el icono de menú (3 puntos) y seleccione Descargar tabla de ARP.
    3. Seleccione un nodo de Edge.
    4. Haga clic en Descargar para guardar el archivo CSV.

Resultados

La nueva puerta de enlace se agrega a la lista. Para cualquier puerta de enlace, puede modificar sus configuraciones haciendo clic en el icono de menú (3 puntos) y seleccionando Editar. Para las siguientes configuraciones, no es necesario hacer clic en Editar. Solo tiene que hacer clic en el icono de expandir (flecha derecha) de la puerta de enlace, encontrar la entidad y hacer clic en el número que aparece junto a ella. Tenga en cuenta que el número debe ser distinto de cero. Si el valor es cero, debe editar la puerta de enlace.
  • En la sección Interfaces: Interfaces externas y de servicio.
  • En la sección Enrutamiento: Listas de prefijos de IP, Rutas estáticas, Instancia del mismo nivel de BFD de ruta estática, Listas de comunidades, Mapas de rutas.
  • En la sección BGP: Vecinos BGP.

Si Federación de NSX está configurado, esta función de reconfigurar una puerta de enlace haciendo clic en una entidad se aplicará también a las puertas de enlace creadas por Global Manager (GM). Tenga en cuenta que algunas entidades de una puerta de enlace creada por GM pueden ser modificadas por el Local Manager, pero otras no pueden serlo. Por ejemplo, el Local Manager no puede modificar las Listas de prefijos de IP de una puerta de enlace creada por GM. Además, desde el Local Manager puede editar las interfaces externas y de servicio de una puerta de enlace creada por GM, pero no puede agregar interfaces.