Une passerelle de niveau 0 dispose de connexions de liaison descendante vers des passerelles de niveau 1 et de connexions externes à des réseaux physiques.

Si vous ajoutez une passerelle de niveau 0 à partir de Gestionnaire global dans NSX Federation, reportez-vous à la section Ajouter une passerelle de niveau 0 à partir du gestionnaire global.

Vous pouvez configurer le mode HA (haute disponibilité) d'une passerelle de niveau 0 pour qu'il soit actif-actif ou actif-en veille. Les services suivants sont pris en charge uniquement en mode actif-en veille :
  • NAT
  • Équilibrage de charge
  • Pare-feu avec état
  • VPN
Les passerelles de niveau 0 et de niveau 1 prennent en charge les configurations d'adressage suivantes pour toutes les interfaces (interfaces externes, interfaces de service et liaisons descendantes) dans les topologies à un seul niveau et à plusieurs niveaux :
  • IPv4 uniquement
  • IPv6 uniquement
  • Double pile : IPv4 et IPv6
Pour utiliser l'adressage IPv6 ou double pile, activez IPv4 et IPv6 en tant que mode de transfert L3 dans Mise en réseau > Paramètres de mise en réseau > Configuration de mise en réseau globale.

Vous pouvez configurer la passerelle de niveau 0 pour prendre en charge EVPN (Ethernet VPN). Pour plus d'informations sur la configuration d'EVPN, reportez-vous au VPN Ethernet (EVPN).

Si vous configurez la redistribution de routes pour la passerelle de niveau 0, vous pouvez choisir parmi deux groupes de sources : les sous-réseaux de niveau 0 et les sous-réseaux de niveau 1 annoncés. Les sources dans le groupe de sous-réseaux de niveau 0 sont :
Type de source Description
Interfaces et segments connectés Redistribuez tous les sous-réseaux configurés sur les interfaces et les routes associées aux segments de niveau 0, l'adresse IP du redirecteur DNS de niveau 0, l'adresse IP locale IPsec de niveau 0 et les types NAT de niveau 0. Redistribuez les sous-réseaux configurés sur les segments connectés au niveau 0.
Routes statiques Redistribuez les routes statiques que vous avez configurées sur la passerelle de niveau 0.
Adresse IP NAT Redistribuez les adresses IP NAT appartenant au niveau 0 et découvertes à partir de règles NAT configurées sur la passerelle de niveau 0.
Adresse IP locale IPsec Redistribuez l'adresse IP du point de terminaison IPsec local pour établir des sessions VPN. Redistribuez les sous-réseaux IPsec.
Adresse IP du redirecteur DNS Redistribuez l'adresse IP de l'écouteur pour les requêtes DNS des clients et également utilisée comme adresse IP source pour transférer les requêtes DNS vers le serveur DNS en amont. Redistribuez les sous-réseaux du redirecteur DNS.
ADRESSE IP D'EVPN TEP Redistribuez les sous-réseaux de point de terminaison local EVPN sur le niveau 0.
Statique inter-VRF Redistribuez les adresses IP annoncées par les instances de niveau 0 ou VRF.
Lien du routeur Redistribuez les sous-réseaux de port de lien du routeur sur les passerelles de niveau 0.
Les sources dans le groupe de sous-réseaux de niveau 1 et les VPC annoncés sont :
Type de source Description
Interfaces et segments connectés/Sous-réseaux VPC
  • Redistribuez les sous-réseaux configurés sur les segments et annoncés à partir de la passerelle de niveau 1 connectée.
  • Redistribuez les sous-réseaux configurés dans NSX VPC et annoncés à partir du NSX VPC connecté.
  • NSX VPC annonce tous ses sous-réseaux publics à la passerelle de niveau 0 connectée.
Routes statiques Redistribuez tous les sous-réseaux et routes statiques annoncés par les passerelles de niveau 1 ou les VPC NSX.
Adresse IP NAT Redistribuez les adresses IP NAT appartenant à la passerelle de niveau 1 ou au NSX VPC et détectées à partir de règles NAT configurées sur la passerelle de niveau 1 ou sur NSX VPC.
VIP D'ÉQUILIBREUR DE CHARGE Redistribuez l'adresse IP du serveur virtuel d'équilibrage de charge.
Adresse IP du SNAT d'équilibreur de charge Redistribuez l'adresse IP ou une plage d'adresses IP utilisée pour la NAT source par l'équilibrage de charge.
Adresse IP du redirecteur DNS Redistribuez l'adresse IP de l'écouteur pour les requêtes DNS des clients et également utilisée comme adresse IP source pour transférer les requêtes DNS vers le serveur DNS en amont.
Point de terminaison local IPsec Redistribuez l'adresse IP du point de terminaison local IPsec.

Le protocole ARP du proxy est automatiquement activé sur une passerelle de niveau 0 lorsqu'une règle NAT ou une adresse IP virtuelle d'équilibreur de charge utilise une adresse IP du sous-réseau de l'interface externe de la passerelle de niveau 0. En activant le protocole ARP du proxy, les hôtes sur les segments de superposition et les hôtes sur un segment VLAN peuvent échanger le trafic réseau ensemble sans implémenter de modification dans l'infrastructure de mise en réseau physique.

Pour obtenir un exemple détaillé de flux de paquets dans une topologie de protocole ARP du proxy, reportez-vous au Guide de conception de référence de NSX sur le portail Communautés VMware.

Le protocole proxy ARP est pris en charge sur une passerelle de niveau 0 dans une configuration actif-en veille, et il répond aux requêtes ARP pour les adresses IP externes et de l'interface de service. Le protocole ARP du proxy gère également les requêtes ARP pour les adresses IP de service qui se trouvent dans une liste de préfixes IP configurée avec l'action Permit.

Le protocole ARP du proxy est également pris en charge sur une passerelle de niveau 0 dans une configuration actif-actif. Toutefois, tous les nœuds Edge dans la configuration de niveau 0 active-active doivent être directement accessibles au réseau sur lequel le proxy ARP est requis. En d'autres termes, vous devez configurer l'interface externe et l'interface de service sur tous les nœuds Edge qui participent à la passerelle de niveau 0 pour que le proxy ARP fonctionne.

À partir de NSX 4.1.1, vous pouvez connaître le nombre total de routes pour une passerelle de niveau 0 avec les API suivantes. Pour plus d'informations sur les API, reportez-vous au Guide de NSX API.

GET /policy/api/v1/infra/tier-0s/{tier-0-id}/number-of-routes
GET /policy/api/v1/global-infra/tier-0s/{tier-0-id}/number-of-routes

Conditions préalables

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Sélectionnez Mise en réseau > Passerelles de niveau 0.
  3. Sélectionnez Ajouter une passerelle de niveau 0.
  4. Entrez un nom pour la passerelle.
  5. Sélectionnez un mode HA (haute disponibilité).
    Le mode par défaut est actif-actif. En mode actif-actif, le trafic est à équilibreur de charge sur tous les membres. En mode actif-en veille, tout le trafic est traité par un membre actif choisi. Si le membre actif échoue, un nouveau membre est choisi pour être actif.
  6. Si le mode HA est actif-en veille, sélectionnez un mode de basculement.
    Option Description
    Préemptif Si le nœud préféré échoue et récupère, il prévaut sur son homologue et devient le nœud actif. L'homologue modifie son état sur veille.
    Non préemptif Si le nœud préféré échoue et récupère, il vérifie si son homologue est le nœud actif. Si c'est le cas, le nœud préféré ne prévaut pas sur son homologue et est le nœud en veille.
  7. (Facultatif) Sélectionnez un cluster NSX Edge.
  8. (Facultatif) Cliquez sur Définir pour ajouter Configuration DHCP sur la passerelle.
  9. (Facultatif) Cliquez sur Paramètres supplémentaires.
    1. Dans le champ Sous-réseau de transit interne, entrez un sous-réseau.
      Il s'agit du sous-réseau utilisé pour la communication entre les composants dans cette passerelle. La valeur par défaut est 169.254.0.0/24.
    2. Dans le champ Sous-réseaux de transit T0-T1, entrez un ou plusieurs sous-réseaux.
      Ces sous-réseaux sont utilisés pour la communication entre cette passerelle et toutes les passerelles de niveau 1 qui y sont liées. Une fois que vous avez créé cette passerelle et lié une passerelle de niveau 1, vous verrez l'adresse IP réelle attribuée au lien du côté de la passerelle de niveau 0 et du côté de la passerelle de niveau 1. L'adresse s'affiche dans Paramètres supplémentaires > Liens de routeur sur la page de la passerelle de niveau 0 et de la passerelle de niveau 1. La valeur par défaut est 100.64.0.0/16.

      Une fois la passerelle de niveau 0 créée, vous pouvez modifier les sous-réseaux de transit T0-T1 en modifiant la passerelle. Notez que cela entraîne une brève interruption du trafic.

    3. Dans le champ Temporisateur d'activation du transfert, entrez une heure.

      Le temporisateur d'activation du transfert définit le temps en secondes que le routeur doit attendre avant d'envoyer la notification d'activation après l'affichage de la première session BGP, BFD ou OSPF. Ce temporisateur (anciennement retard de transfert) réduit les interruptions de service en cas de basculements pour des configurations en mode Actif-Actif ou actif-en veille de passerelles de niveau 0 sur NSX Edge qui utilisent le routage dynamique (BGP ou OSPF ). Il doit être défini sur le nombre de secondes qu'un routeur externe (TOR) prend pour annoncer tous les itinéraires au dispositif NSX Edge après la première session BGP/OSPF. La valeur par défaut de ce temporisateur est 5 secondes. Elle doit être augmentée à une valeur supérieure pour les environnements avec une plus grande échelle de routes apprises sur NSX Edge. En général, une passerelle de niveau 0 doit disposer de nœuds Edge redondants. Si des nœuds Edge redondants ne sont pas disponibles, ce temporisateur doit être défini sur 0.

  10. Cliquez sur Différentiateur de route pour passerelles VRF pour configurer une adresse d'administration de la distinction d'itinéraire.
    Cela n'est nécessaire que pour EVPN en mode en ligne.
  11. Pour attribuer un différenciateur de route unique du pool de différenciateurs de route à chaque nœud Edge pour le VRF EVPN, activez l'option Différenciateur de route par dispositif Edge. Notez que pour le mode en ligne d'EVPN, le différenciateur de route est attribué à partir d'un pool configuré manuellement ou il est attribué automatiquement. Pour le mode serveur de route d'EVPN, le différenciateur de route est attribué uniquement à partir d'un pool configuré manuellement.
  12. (Facultatif) Ajoutez une ou plusieurs balises.
  13. Cliquez sur Enregistrer.
  14. Pour IPv6, sous Paramètres supplémentaires, vous pouvez sélectionner ou créer un Profil ND et un Profil DAD.
    Ces profils sont utilisés pour configurer SLAAC (Stateless Address Autoconfiguration) et DAD (Duplicate Address Detection) pour les adresses IPv6.
  15. (Facultatif) Cliquez sur Paramètres EVPN pour configurer EVPN.
    1. Sélectionnez un mode EVPN.
      Les options sont les suivantes :
      • En ligne : dans ce mode, EVPN gère le trafic du plan de données et du plan de contrôle.
      • Serveur de route : disponible uniquement si le mode HA de cette passerelle est actif-actif. Dans ce mode, EVPN gère uniquement le trafic du plan de contrôle.
      • Aucun EVPN
    2. Si le mode EVPN est En ligne, sélectionnez un pool VNI EVPN/VXLAN ou créez un pool en cliquant sur l'icône de menu (3 points).
    3. Si le mode EVPN est Serveur de route, sélectionnez un Locataire EVPN ou créez un locataire EVPN en cliquant sur l'icône de menu (3 points).
    4. Dans le champ Point de terminaison de tunnel EVPN cliquez sur Définir pour ajouter des points de terminaison de tunnel local EVPN.
      Pour le point de terminaison de tunnel, sélectionnez un nœud Edge et spécifiez une adresse IP.
      Vous pouvez également spécifier le MTU.
      Note : Assurez-vous que l'interface externe a été configurée sur le nœud NSX Edge que vous avez sélectionné pour le point de terminaison de tunnel EVPN.
  16. Pour configurer la redistribution de routes, cliquez sur Redistribution de routes et sur Définir.
    Sélectionnez une ou plusieurs des sources :
    • Sous-réseaux de niveau 0 : Routes statiques, Adresse IP NAT, Adresse IP locale IPsec, Adresse IP du redirecteur DNS, Lien du routeur, Interfaces et segments connectés.

      Sous Interfaces et segments connectés, vous pouvez sélectionner une ou plusieurs des options suivantes : Sous-réseau de l'interface de service, Sous-réseau de l'interface externe, Sous-réseau de l'interface de bouclage, Segment connecté.

    • Sous-réseaux de niveau 0 : Routes statiques, Adresse IP NAT, Adresse IP locale IPsec, Adresse IP du redirecteur DNS, ADRESSE IP D'EVPN TEP, Interfaces et segments connectés.

      Sous Interfaces et segments connectés, vous pouvez sélectionner une ou plusieurs des options suivantes : Sous-réseau de l'interface de service, Sous-réseau de l'interface externe, Sous-réseau de l'interface de bouclage, Segment connecté.

    • Sous-réseaux de niveau 1 annoncés : Adresse IP du redirecteur DNS, Routes statiques, VIP d'équilibreur de charge, Adresse IP NAT, Adresse IP du SNAT d'équilibreur de charge, Point de terminaison local IPsec Interfaces et segments connectés.

      Sous Interfaces et segments connectés, vous pouvez sélectionner Sous-réseau de l'interface de service et/ou Segment connecté.

  17. Pour configurer des interfaces, cliquez sur Interfaces et tunnels GRE, puis sur Définir pour Interfaces externes et de service.
    1. Cliquez sur Ajouter une interface.
    2. Entrez un nom.
    3. Sélectionnez un emplacement. Tous les sites intégrés pourront être sélectionnés.
    4. Sélectionnez un type.
      Si le mode HA est actif-en veille, les choix sont Externe, Service et Bouclage. Si le mode HA est actif-actif, les choix sont Externe et Bouclage.
    5. Entrez une adresse IP au format CIDR.
    6. Sélectionnez un segment.
    7. Si le type d'interface n'est pas Service, sélectionnez un nœud NSX Edge.
    8. (Facultatif) Si le type d'interface n'est pas Bouclage, entrez une valeur de MTU.
    9. (Facultatif) Si le type d'interface est Externe, vous pouvez activer la multidiffusion en définissant PIM (Protocol Independent Multicast) sur Externe.

      Vous pouvez également configurer les éléments suivants :

      • Jonction IGMP locale : entrez une ou plusieurs adresses IP. La jonction IGMP est un outil de débogage utilisé pour générer une jonction (*,g) à un point de rendez-vous (RP) et obtenir le trafic transféré au nœud où la jonction est émise. Pour plus d'informations, consultez le À propos de la jonction IGMP.
      • Intervalle de salutation (en secondes) : la valeur par défaut est 30. La plage est comprise entre 1 et 180. Ce paramètre spécifie l'intervalle entre les messages de salutation. Une fois que l'Intervalle de salutation est modifié, il prend effet uniquement après l'expiration du temporisateur PIM actuellement planifié.
      • Durée de retenue (en secondes) : la plage est comprise entre 1 et 630. Doit être supérieur à l'Intervalle de salutation. La valeur par défaut est 3,5 fois l'Intervalle de salutation. Si un voisin ne reçoit pas de message de salutation de cette passerelle pendant cet intervalle de temps, il considère que cette passerelle est inaccessible.
    10. (Facultatif) Ajoutez des balises et sélectionnez un profil ND.
    11. (Facultatif) Si le type d'interface est Externe, pour Mode URPF, vous pouvez sélectionner Strict ou Aucun.
      Le routage ou le transfert asymétrique n'est pas recommandé. Par conséquent, Mode URPF est défini par défaut sur Strict.

      Pour le routage symétrique, assurez-vous que la configuration entre la passerelle de niveau 0 et les routeurs ascendants est telle que le même ensemble de préfixes est annoncé à partir de chaque nœud Edge dans une passerelle de niveau 0 sur un site donné. En outre, le même ensemble de préfixes doit être appris à partir des TOR sur tous les nœuds Edge d'une passerelle de niveau 0 sur un site donné.

      Si vous disposez de BGP entre la passerelle de niveau 0 et les routeurs ascendants et que vous utilisez des mappages de route ou des filtres, assurez-vous que cette configuration est cohérente pour les directions entrantes et sortantes pour tous les nœuds Edge.

      Pour un environnement de fédération avec des sites principal et secondaire, vous devez annoncer des chemins AS plus longs pour les annonces BGP sur les voisins BGP du site secondaire afin de résoudre le transfert asymétrique.

      Si un routage asymétrique est nécessaire, définissez Mode URPF sur Aucun.

    12. (Facultatif) Une fois que vous avez créé une interface, vous pouvez télécharger l'agrégation des proxys ARP en cliquant sur l'icône du menu (trois points) pour l'interface et en sélectionnant Télécharger les proxys ARP.

      Vous pouvez également télécharger le proxy ARP pour une interface spécifique en développant une passerelle, puis en développant Interfaces. Cliquez sur une interface, cliquez sur l'icône du menu (trois points) et sélectionnez Télécharger le proxy ARP.

      Note : Vous ne pouvez pas télécharger le proxy ARP pour les interfaces de bouclage.
  18. (Facultatif) Si le mode HA est actif-en veille, cliquez sur Définir en regard de Configuration de l'adresse IP virtuelle HA pour configurer VIP HA.
    Lorsque l'adresse IP virtuelle HA est configurée, la passerelle de niveau 0 est opérationnelle même si une interface externe est inactive. Le routeur physique interagit uniquement avec la VIP HA. L'adresse IP virtuelle HA est conçue pour fonctionner avec le routage statique et non avec BGP.
    1. Cliquez sur Ajouter une adresse IP virtuelle HA.
    2. Entrez une adresse IP et un masque de sous-réseau.
      Le sous-réseau VIP HA doit être le même que le sous-réseau de l'interface à laquelle il est lié.
    3. Sélectionnez un emplacement. Tous les sites intégrés pourront être sélectionnés.
    4. Assurez-vous que la configuration VIP est activée pour le mode HA.
    5. Sélectionnez deux interfaces de deux nœuds Edge différents.
  19. Cliquez sur Routage pour ajouter des listes de préfixes IP, des listes de communauté, des routes statiques et des cartes de route.
  20. Cliquez sur Multidiffusion pour configurer le routage multidiffusion.
  21. Cliquez sur BGP pour configurer BGP.
  22. Cliquez sur OSPF pour configurer OSPF. Cette fonctionnalité est disponible à partir de NSX 3.1.1.
  23. (Facultatif) Pour télécharger la table de routage ou la table de transfert, procédez comme suit :
    1. Cliquez sur l'icône du menu (trois points) et sélectionnez une option de téléchargement.
    2. Entrez les valeurs Nœud de transport, Réseau et Source si nécessaire.
    3. Cliquez sur Télécharger pour enregistrer le fichier .CSV.
  24. (Facultatif) Pour télécharger la table ARP à partir d'une passerelle de niveau 1 liée, procédez comme suit :
    1. Dans la colonne Passerelles de niveau 1 liées, cliquez sur le nombre.
    2. Cliquez sur l'icône de menu (3 points) et sélectionnez Télécharger la table ARP.
    3. Sélectionnez un nœud Edge.
    4. Cliquez sur Télécharger pour enregistrer le fichier .CSV.

Résultats

La nouvelle passerelle est ajoutée à la liste. Vous pouvez modifier les configurations de n'importe quelle passerelle en cliquant sur l'icône de menu (3 points) et en sélectionnant Modifier. Pour les configurations suivantes, vous n'avez pas besoin de cliquer sur Modifier. Il vous suffit de cliquer sur l'icône d'agrandissement (flèche droite) de la passerelle, de trouver l'entité et de cliquer sur le nombre en regard de celle-ci. Notez que le nombre doit être différent de zéro. S'il est égal à zéro, vous devez modifier la passerelle.
  • Dans la section Interfaces : Interfaces externes et de service.
  • Dans la section Routage : Listes de préfixes IP, Routes statiques, Homologue BFD de route statique, Listes de communauté, Cartes de route.
  • Dans la section BGP : Voisins BGP.

Si NSX Federation est configuré, cette fonctionnalité de reconfiguration d'une passerelle en cliquant sur une entité s'applique également aux passerelles créées par le gestionnaire global. Notez que certaines entités d'une passerelle créée par le gestionnaire global peuvent être modifiées par le gestionnaire local, mais pas d'autres. Par exemple, Listes de préfixes IP d'une passerelle créée par le gestionnaire global ne peut pas être modifiée par le gestionnaire local. De plus, à partir du gestionnaire local, vous pouvez modifier les Interfaces externes et de service existantes d'une passerelle créée par le gestionnaire global, mais vous ne pouvez pas ajouter une interface.