Une passerelle de niveau 0 dispose de connexions de liaison descendante vers des passerelles de niveau 1 et de connexions externes à des réseaux physiques.

Si vous ajoutez une passerelle de niveau 0 à partir de Gestionnaire global dans NSX fédération, reportez-vous à Ajouter une passerelle de niveau 0 depuis Gestionnaire global.

Vous pouvez configurer le mode HA (haute disponibilité) d'une passerelle de niveau 0 pour qu'il soit actif-actif ou actif-en veille. Les services suivants sont pris en charge uniquement en mode actif-en veille :
  • NAT
  • Équilibrage de charge
  • Pare-feu avec état
  • VPN
Les passerelles de niveau 0 et de niveau 1 prennent en charge les configurations d'adressage suivantes pour toutes les interfaces (interfaces externes, interfaces de service et liaisons descendantes) dans les topologies à un seul niveau et à plusieurs niveaux :
  • IPv4 uniquement
  • IPv6 uniquement
  • Double pile : IPv4 et IPv6
Pour utiliser l'adressage IPv6 ou double pile, activez IPv4 et IPv6 en tant que mode de transfert L3 dans Mise en réseau > Paramètres de mise en réseau > Configuration de mise en réseau globale.

Vous pouvez configurer la passerelle de niveau 0 pour prendre en charge EVPN (Ethernet VPN). Pour plus d'informations sur la configuration d'EPVN, reportez-vous à la section VPN Ethernet (EVPN).

Si vous configurez la redistribution de routes pour la passerelle de niveau 0, vous pouvez choisir parmi deux groupes de sources : les sous-réseaux de niveau 0 et les sous-réseaux de niveau 1 annoncés. Les sources dans le groupe de sous-réseaux de niveau 0 sont :
Type de source Description
Interfaces et segments connectés Il s'agit des sous-réseaux de l'interface externe, des sous-réseaux de l'interface de service et des sous-réseaux de segments connectés à la passerelle de niveau 0.
Routes statiques Routes statiques que vous avez configurées sur la passerelle de niveau 0.
Adresse IP NAT Adresses IP NAT appartenant à la passerelle de niveau 0 et découvertes à partir de règles NAT qui sont configurées sur la passerelle de niveau 0.
Adresse IP locale IPSec Adresse IP locale du point de terminaison IPSec pour établir des sessions VPN.
Adresse IP du redirecteur DNS Adresse IP de l'écouteur pour les requêtes DNS des clients et également utilisée comme adresse IP source pour transférer les requêtes DNS vers le serveur DNS en amont.
ADRESSE IP D'EVPN TEP Cette fonction permet de redistribuer les sous-réseaux du point de terminaison local EVPN sur la passerelle de niveau 0.
Les sources dans le groupe de sous-réseaux de niveau 1 annoncés sont :
Type de source Description
Interfaces et segments connectés Il s'agit des sous-réseaux de segments connectés aux sous-réseaux de passerelle de niveau 1 et de l'interface de service configurés sur la passerelle de niveau 1.
Routes statiques Routes statiques que vous avez configurées sur la passerelle de niveau 1.
Adresse IP NAT Adresses IP NAT appartenant à la passerelle de niveau 1 et découvertes à partir de règles NAT qui sont configurées sur la passerelle de niveau 1.
VIP D'ÉQUILIBREUR DE CHARGE Adresse IP du serveur virtuel d'équilibrage de charge.
Adresse IP du SNAT d'équilibreur de charge Adresse IP ou plage d'adresses IP utilisée pour la NAT source par l'équilibreur de charge.
Adresse IP du redirecteur DNS Adresse IP de l'écouteur pour les requêtes DNS des clients et également utilisée comme adresse IP source pour transférer les requêtes DNS vers le serveur DNS en amont.
Point de terminaison local IPSec Adresse IP du point de terminaison local IPSec.

Le protocole ARP du proxy est automatiquement activé sur une passerelle de niveau 0 lorsqu'une règle NAT ou une adresse IP virtuelle d'équilibreur de charge utilise une adresse IP du sous-réseau de l'interface externe de la passerelle de niveau 0. En activant le protocole ARP du proxy, les hôtes sur les segments de superposition et les hôtes sur un segment VLAN peuvent échanger le trafic réseau ensemble sans implémenter de modification dans l'infrastructure de mise en réseau physique.

Pour obtenir un exemple détaillé de flux de paquets dans une topologie de protocole ARP du proxy, reportez-vous au Guide de conception de référence de NSX-T sur le portail Communautés VMware.

Avant NSX-T Data Center 3.2, le protocole proxy ARP est pris en charge sur une passerelle de niveau 0 dans une configuration actif-en veille uniquement, et il répond aux requêtes ARP pour les adresses IP externes et de l'interface de service. Le protocole ARP du proxy gère également les requêtes ARP pour les adresses IP de service qui se trouvent dans une liste de préfixes IP configurée avec l'action Permit.

À partir de NSX-T Data Center 3.2, le protocole ARP du proxy est également pris en charge sur une passerelle de niveau 0 dans une configuration active-active. Toutefois, tous les nœuds Edge dans la configuration de niveau 0 active-active doivent être directement accessibles au réseau sur lequel le proxy ARP est requis. En d'autres termes, vous devez configurer l'interface externe et l'interface de service sur tous les nœuds Edge qui participent à la passerelle de niveau 0 pour que le proxy ARP fonctionne.

Conditions préalables

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Sélectionnez Mise en réseau > Passerelles de niveau 0.
  3. Cliquez sur Ajouter une passerelle de niveau 0.
  4. Entrez un nom pour la passerelle.
  5. Sélectionnez un mode HA (haute disponibilité).
    Le mode par défaut est actif-actif. En mode actif-actif, le trafic est à équilibreur de charge sur tous les membres. En mode actif-en veille, tout le trafic est traité par un membre actif choisi. Si le membre actif échoue, un nouveau membre est choisi pour être actif.
  6. Si le mode HA est actif-en veille, sélectionnez un mode de basculement.
    Option Description
    Préemptif Si le nœud préféré échoue et récupère, il prévaut sur son homologue et devient le nœud actif. L'homologue modifie son état sur veille.
    Non préemptif Si le nœud préféré échoue et récupère, il vérifie si son homologue est le nœud actif. Si c'est le cas, le nœud préféré ne prévaut pas sur son homologue et est le nœud en veille.
  7. (Facultatif) Sélectionnez un cluster NSX Edge.
  8. (Facultatif) Pour ajouter DHCP, cliquez sur Définir la configuration DHCP.
  9. (Facultatif) Cliquez sur Paramètres supplémentaires.
    1. Dans le champ Sous-réseau de transit interne, entrez un sous-réseau.
      Il s'agit du sous-réseau utilisé pour la communication entre les composants dans cette passerelle. La valeur par défaut est 169.254.0.0/24.
    2. Dans le champ Sous-réseaux de transit T0-T1, entrez un ou plusieurs sous-réseaux.
      Ces sous-réseaux sont utilisés pour la communication entre cette passerelle et toutes les passerelles de niveau 1 qui y sont liées. Une fois que vous avez créé cette passerelle et lié une passerelle de niveau 1, vous verrez l'adresse IP réelle attribuée au lien du côté de la passerelle de niveau 0 et du côté de la passerelle de niveau 1. L'adresse s'affiche dans Paramètres supplémentaires > Liens de routeur sur la page de la passerelle de niveau 0 et de la passerelle de niveau 1. La valeur par défaut est 100.64.0.0/16.
    3. Dans le champ Temporisateur d'activation du transfert, entrez une heure.
      Le temporisateur d'activation du transfert définit le temps en secondes que le routeur doit attendre avant d'envoyer la notification d'activation après l'établissement de la première session BGP. Ce temporisateur (anciennement retard de transfert) réduit les interruptions de service en cas de basculements pour des configurations en mode actif-actif ou actif-en veille de routeurs logiques sur NSX Edge qui utilisent le routage dynamique (BGP). Il doit être défini sur le nombre de secondes qu'un routeur externe (TOR) prend pour annoncer tous les itinéraires à ce routeur après la première session BGP/BFD. La valeur du temporisateur doit être directement proportionnelle au nombre d'itinéraires dynamiques ascendants que le routeur doit apprendre. Ce temporisateur doit être défini sur 0 sur les configurations de nœud Edge uniques.
  10. Cliquez sur Différentiateur de route pour passerelles VRF pour configurer une adresse d'administration de la distinction d'itinéraire.
    Cela n'est nécessaire que pour EVPN en mode en ligne.
  11. (Facultatif) Ajoutez une ou plusieurs balises.
  12. Cliquez sur Enregistrer.
  13. Pour IPv6, sous Paramètres supplémentaires, vous pouvez sélectionner ou créer un Profil ND et un Profil DAD.
    Ces profils sont utilisés pour configurer SLAAC (Stateless Address Autoconfiguration) et DAD (Duplicate Address Detection) pour les adresses IPv6.
  14. (Facultatif) Cliquez sur Paramètres EVPN pour configurer EVPN.
    1. Sélectionnez un mode EVPN.
      Les options sont les suivantes :
      • En ligne : dans ce mode, EVPN gère le trafic du plan de données et du plan de contrôle.
      • Serveur de route : disponible uniquement si le mode HA de cette passerelle est actif-actif. Dans ce mode, EVPN gère uniquement le trafic du plan de contrôle.
      • Aucun EVPN
    2. Si le mode EVPN est En ligne, sélectionnez un pool VNI EVPN/VXLAN ou créez un pool en cliquant sur l'icône de menu (3 points).
    3. Si le mode EVPN est Serveur de route, sélectionnez un Locataire EVPN ou créez un locataire EVPN en cliquant sur l'icône de menu (3 points).
    4. Dans le champ Point de terminaison de tunnel EVPN cliquez sur Définir pour ajouter des points de terminaison de tunnel local EVPN.
      Pour le point de terminaison de tunnel, sélectionnez un nœud Edge et spécifiez une adresse IP.
      Vous pouvez également spécifier le MTU.
      Note : Assurez-vous que l'interface externe a été configurée sur le nœud NSX Edge que vous avez sélectionné pour le point de terminaison de tunnel EVPN.
  15. Pour configurer la redistribution de routes, cliquez sur Redistribution de routes et sur Définir.
    Sélectionnez une ou plusieurs des sources :
    • Sous-réseaux de niveau 0 : Routes statiques, Adresse IP NAT, Adresse IP locale IPSec, Adresse IP du redirecteur DNS, ADRESSE IP D'EVPN TEP, Interfaces et segments connectés.

      Sous Interfaces et segments connectés, vous pouvez sélectionner une ou plusieurs des options suivantes : Sous-réseau de l'interface de service, Sous-réseau de l'interface externe, Sous-réseau de l'interface de bouclage, Segment connecté.

    • Sous-réseaux de niveau 1 annoncés : Adresse IP du redirecteur DNS, Routes statiques, VIP d'équilibreur de charge, Adresse IP NAT, Adresse IP du SNAT d'équilibreur de charge, Point de terminaison local IPSec Interfaces et segments connectés.

      Sous Interfaces et segments connectés, vous pouvez sélectionner Sous-réseau de l'interface de service et/ou Segment connecté.

  16. Pour configurer les interfaces, cliquez sur Interfaces et sur Définir.
    1. Cliquez sur Ajouter une interface.
    2. Entrez un nom.
    3. Sélectionnez un type.
      Si le mode HA est actif-en veille, les choix sont Externe, Service et Bouclage. Si le mode HA est actif-actif, les choix sont Externe et Bouclage.
    4. Entrez une adresse IP au format CIDR.
    5. Sélectionnez un segment.
    6. Si le type d'interface n'est pas Service, sélectionnez un nœud NSX Edge.
    7. (Facultatif) Si le type d'interface n'est pas Bouclage, entrez une valeur de MTU.
    8. (Facultatif) Si le type d'interface est Externe, vous pouvez activer la multidiffusion en définissant PIM (Protocol Independent Multicast) sur Externe.
      Vous pouvez également configurer les éléments suivants :
      • Jonction IGMP locale : entrez une ou plusieurs adresses IP. La jonction IGMP est un outil de débogage utilisé pour générer une jonction (*,g) à un point de rendez-vous (RP) et obtenir le trafic transféré au nœud où la jonction est émise. Pour plus d'informations, reportez-vous à la section À propos de la jonction IGMP.
      • Intervalle de salutation (en secondes) : la valeur par défaut est 30. La plage est comprise entre 1 et 180. Ce paramètre spécifie l'intervalle entre les messages de salutation. Une fois que l'Intervalle de salutation est modifié, il prend effet uniquement après l'expiration du temporisateur PIM actuellement planifié.
      • Durée de retenue (en secondes) : la plage est comprise entre 1 et 630. Doit être supérieur à l'Intervalle de salutation. La valeur par défaut est 3,5 fois l'Intervalle de salutation. Si un voisin ne reçoit pas de message de salutation de cette passerelle pendant cet intervalle de temps, il considère que cette passerelle est inaccessible.
    9. (Facultatif) Ajoutez des balises et sélectionnez un profil ND.
    10. (Facultatif) Si le type d'interface est Externe, pour Mode URPF, vous pouvez sélectionner Strict ou Aucun.
      URPF (Unicast Reverse Path Forwarding) est une fonctionnalité de sécurité.
    11. (Facultatif) Une fois que vous avez créé une interface, vous pouvez télécharger l'agrégation des proxys ARP en cliquant sur l'icône du menu (trois points) pour l'interface et en sélectionnant Télécharger les proxys ARP.

      Vous pouvez également télécharger le proxy ARP pour une interface spécifique en développant une passerelle, puis en développant Interfaces. Cliquez sur une interface, cliquez sur l'icône du menu (trois points) et sélectionnez Télécharger le proxy ARP.

      Note : Vous ne pouvez pas télécharger le proxy ARP pour les interfaces de bouclage.
  17. (Facultatif) Si le mode HA est actif-en veille, cliquez sur Définir en regard de Configuration de l'adresse IP virtuelle HA pour configurer VIP HA.
    Lorsque l'adresse IP virtuelle HA est configurée, la passerelle de niveau 0 est opérationnelle même si une interface externe est inactive. Le routeur physique interagit uniquement avec la VIP HA. L'adresse IP virtuelle HA est conçue pour fonctionner avec le routage statique et non avec BGP.
    1. Cliquez sur Ajouter une adresse IP virtuelle HA.
    2. Entrez une adresse IP et un masque de sous-réseau.
      Le sous-réseau VIP HA doit être le même que le sous-réseau de l'interface à laquelle il est lié.
    3. Sélectionnez deux interfaces de deux nœuds Edge différents.
  18. Cliquez sur Routage pour ajouter des listes de préfixes IP, des listes de communauté, des routes statiques et des cartes de route.
  19. Cliquez sur Multidiffusion pour configurer le routage multidiffusion.
  20. Cliquez sur BGP pour configurer BGP.
  21. Cliquez sur OSPF pour configurer OSPF.
    Cette fonctionnalité est disponible à partir de NSX-T Data Center 3.1.1.
  22. (Facultatif) Pour télécharger la table de routage ou la table de transfert, procédez comme suit :
    1. Cliquez sur l'icône du menu (trois points) et sélectionnez une option de téléchargement.
    2. Entrez les valeurs Nœud de transport, Réseau et Source si nécessaire.
    3. Cliquez sur Télécharger pour enregistrer le fichier .CSV.
  23. (Facultatif) Pour télécharger la table ARP à partir d'une passerelle de niveau 1 liée, procédez comme suit :
    1. Dans la colonne Passerelles de niveau 1 liées, cliquez sur le nombre.
    2. Cliquez sur l'icône de menu (3 points) et sélectionnez Télécharger la table ARP.
    3. Sélectionnez un nœud Edge.
    4. Cliquez sur Télécharger pour enregistrer le fichier .CSV.

Résultats

La nouvelle passerelle est ajoutée à la liste. Vous pouvez modifier les configurations de n'importe quelle passerelle en cliquant sur l'icône de menu (3 points) et en sélectionnant Modifier. Pour les configurations suivantes, vous n'avez pas besoin de cliquer sur Modifier. Il vous suffit de cliquer sur l'icône d'agrandissement (flèche droite) de la passerelle, de trouver l'entité et de cliquer sur le nombre en regard de celle-ci. Notez que le nombre doit être différent de zéro. S'il est égal à zéro, vous devez modifier la passerelle.
  • Dans la section Interfaces : Interfaces externes et de service.
  • Dans la section Routage : Listes de préfixes IP, Routes statiques, Homologue BFD de route statique, Listes de communauté, Cartes de route.
  • Dans la section BGP : Voisins BGP.

Si NSX fédération est configuré, cette fonctionnalité de reconfiguration d'une passerelle en cliquant sur une entité s'applique également aux passerelles créées par le gestionnaire global. Notez que certaines entités d'une passerelle créée par le gestionnaire global peuvent être modifiées par le gestionnaire local, mais pas d'autres. Par exemple, Listes de préfixes IP d'une passerelle créée par le gestionnaire global ne peut pas être modifiée par le gestionnaire local. De plus, à partir du gestionnaire local, vous pouvez modifier les Interfaces externes et de service existantes d'une passerelle créée par le gestionnaire global, mais vous ne pouvez pas ajouter une interface.