Un gateway di livello 0 dispone di connessioni downlink ai gateway di livello 1 e di connessioni esterne alle reti fisiche.

Se si aggiunge un gateway di livello 0 da Global Manager in federazione di NSX, vedere Aggiunta di un gateway di livello 0 da Global Manager.

È possibile configurare la modalità a elevata disponibilità (HA) di un gateway di livello 0 in modo che sia attivo-attivo o attivo-standby. I seguenti servizi sono supportati solo in modalità attivo-standby:
  • NAT
  • Bilanciamento del carico
  • Firewall stateful
  • VPN
I gateway di livello 0 e 1 supportano le configurazioni di indirizzamento seguenti per tutte le interfacce (interfacce esterne, interfacce dei servizi e downlink) in topologie a livello singolo e multilivello:
  • Solo IPv4
  • Solo IPv6
  • Dual stack - IPv4 e IPv6
Per utilizzare l'indirizzamento IPv6 o dual stack, abilitare IPv4 e IPv6 come modalità di inoltro L3 in Rete > Impostazioni di rete > Configurazione rete globale.

È possibile configurare il gateway di livello 0 per supportare EVPN (Ethernet VPN). Per ulteriori informazioni sulla configurazione di EVPN, vedere Ethernet VPN (EVPN).

Se si configura la ridistribuzione della route per il gateway di livello 0, è possibile selezionare tra due gruppi di origini: subnet di livello 0 e subnet di livello 1 annunciate. Le origini nel gruppo di subnet di livello 0 sono:
Tipo di origine Descrizione
Interfacce e segmenti connessi Ridistribuire tutte le subnet configurate nelle interfacce e le route correlate ai segmenti di livello 0, all'IP del server di inoltro DNS di livello 0, all'IP locale IPSec di livello 0 e ai tipi di NAT di livello 0. Ridistribuire le subnet configurate nei segmenti connessi al livello 0.
Route statiche Ridistribuire le route statiche configurate nel gateway di livello 0.
IP NAT Ridistribuire gli IP NAT di proprietà del livello 0 e rilevati dalle regole NAT configurate nel gateway di livello 0.
IP locale IPSec Ridistribuire l'indirizzo IP dell'endpoint IPSec locale per stabilire le sessioni VPN. Ridistribuire le subnet IPSec.
IP server di inoltro DNS Ridistribuire l'IP listener per le query DNS dai client, utilizzato anche come IP di origine per inoltrare le query DNS al server DNS upstream. Ridistribuire le subnet del server di inoltro DNS.
IP TEP EVPN Ridistribuire le subnet dell'endpoint locale EVPN nel livello 0.
Statico tra VRF Ridistribuire gli IP annunciati dalle istanze di livello 0 o VRF.
Collegamento router Ridistribuire le subnet della porta di collegamento del router nei gateway di livello 0.
Le origini nel gruppo di subnet di livello 1 e VPC annunciate sono:
Tipo di origine Descrizione
Interfacce e segmenti connessi/Subnet VPC
  • Ridistribuire le subnet configurate nei segmenti e annunciate dal gateway di livello 1 connesso.
  • Ridistribuire le subnet configurate in VPC NSX e annunciate da VPC NSX connesso.
  • VPC NSX annuncia tutte le sue subnet pubbliche al gateway di livello 0 connesso.
Route statiche Ridistribuire tutte le subnet e le route statiche annunciate dai gateway di livello 1 o dai VPC di NSX.
IP NAT Ridistribuire gli indirizzi IP NAT di proprietà del gateway di livello 1 o di VPC NSX e rilevati dalle regole NAT configurate nel gateway di livello 1 o in VPC NSX.
VIP bilanciamento del carico Ridistribuire l'indirizzo IP del server virtuale di bilanciamento del carico.
IP SNAT bilanciamento del carico Ridistribuire l'indirizzo IP o l'intervallo di indirizzi IP utilizzato per il NAT di origine dal bilanciamento del carico.
IP server di inoltro DNS Ridistribuire l'IP listener per le query DNS dai client, utilizzato anche come IP di origine per inoltrare le query DNS al server DNS upstream.
Endpoint locale IPSec Ridistribuire l'indirizzo IP dell'endpoint locale IPSec.

L'ARP proxy viene abilitato automaticamente in un gateway di livello 0 quando una regola NAT o un VIP di bilanciamento del carico utilizza un indirizzo IP dalla subnet dell'interfaccia esterna del gateway di livello 0. Abilitando proxy-ARP, gli host nei segmenti di overlay e negli host in un segmento VLAN possono scambiarsi il traffico di rete tra loro senza implementare alcuna modifica dell'infrastruttura di rete fisica.

Per un esempio dettagliato di un flusso di pacchetti in una topologia ARP proxy, vedere la Guida di riferimento alla progettazione di NSX nel portale VMware Communities.

ARP proxy è supportato in un gateway di livello 0 in una configurazione attivo-standby e risponde alle query ARP per gli IP dell'interfaccia esterna e di servizio. ARP proxy risponde anche alle query ARP per gli IP dei servizi che si trovano in un elenco di prefissi IP configurato con l'azione Permit.

ARP proxy è supportato anche in un gateway di livello 0 in una configurazione attivo-attivo. Tuttavia, tutti i nodi Edge nella configurazione di livello 0 attivo-attivo devono essere raggiungibili direttamente nella rete in cui è richiesto il protocollo ARP proxy. In altre parole, è necessario configurare l'interfaccia esterna e l'interfaccia di servizio in tutti i nodi Edge che partecipano al gateway di livello 0 per il funzionamento di ARP proxy.

A partire da NSX 4.1.1 è possibile individuare il numero totale di route per un gateway di livello 0 con le seguenti API. Per ulteriori informazioni sulle API, vedere Guida di NSX API.

GET /policy/api/v1/infra/tier-0s/{tier-0-id}/number-of-routes
GET /policy/api/v1/global-infra/tier-0s/{tier-0-id}/number-of-routes

Prerequisiti

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Selezionare Rete > Gateway di livello 0.
  3. Selezionare Aggiungi gateway di livello 0.
  4. Immettere un nome per il gateway.
  5. Selezionare una modalità HA (alta disponibilità).
    La modalità predefinita è Attivo-Attivo. In modalità attivo-attivo, il carico del traffico viene bilanciato tra tutti i membri. In modalità attivo-standby, tutto il traffico viene elaborato da un membro attivo selezionato. Se il membro attivo non riesce, viene selezionato un nuovo membro come membro attivo.
  6. Se la modalità HA è attiva-standby, selezionare una modalità di failover.
    Opzione Descrizione
    Preventiva Se il nodo preferito non riesce e viene ripristinato, precederà il suo peer e diventerà il nodo attivo. Lo stato del peer diventerà standby.
    Non preventiva Se il nodo preferito non riesce e viene ripristinato, verifica se il suo peer è il nodo attivo. In caso affermativo, il nodo preferito non precederà il suo peer e sarà il nodo di standby.
  7. (Facoltativo) Selezionare un cluster NSX Edge.
  8. (Facoltativo) Fare clic su Imposta per aggiungere Configurazione DHCP nel gateway.
  9. (Facoltativo) Fare clic su Impostazioni aggiuntive.
    1. Nel campo Subnet di transito interna immettere una subnet.
      Questa è la subnet utilizzata per la comunicazione tra i componenti all'interno di questo gateway. Il valore predefinito è 169.254.0.0/24.
    2. Nel campo Subnet di transito T0-T1 immettere una o più subnet.
      Queste subnet vengono utilizzate per la comunicazione tra questo gateway e tutti i gateway di livello 1 collegati. Dopo aver creato questo gateway e aver collegato un gateway di livello 1 a tale gateway, verrà visualizzato l'indirizzo IP effettivo assegnato al collegamento sul lato del gateway di livello 0 e sul lato del gateway di livello 1. L'indirizzo viene visualizzato in Impostazioni aggiuntive > Collegamenti router nella pagina del gateway di livello 0 e nella pagina del gateway di livello 1. Il valore predefinito è 100.64.0.0/16.

      Dopo aver creato il gateway di livello 0, è possibile modificare le Subnet di transito T0-T1 modificando il gateway. Si noti che ciò causerà una breve interruzione del traffico.

    3. Nel campo Timer di attesa inoltro, immettere un orario.

      Il timer di attesa inoltro definisce il tempo in secondi che il router deve attendere prima di inviare la notifica di attività dopo che la prima sessione BGP, BFD oppure OSPF è stata stabilita. Questo timer (in precedenza noto come ritardo di inoltro) riduce al minimo i tempi di inattività in caso di failover per le configurazioni attivo-attivo o attivo-standby dei gateway di livello 0 di NSX Edge che utilizzano il routing dinamico (BGP oppure OSPF). Deve essere impostato sul numero di secondi che un router esterno (TOR) impiega per annunciare tutte le route a NSX Edge dopo che la prima sessione BGP/OSPF è stata stabilita. Il valore predefinito di questo timer è 5 secondi. È necessario aumentarlo per gli ambienti con un maggior numero di route acquisite in NSX Edge. In generale, un gateway di livello 0 deve avere nodi Edge ridondanti. Se non sono disponibili nodi Edge ridondanti, questo timer deve essere impostato su 0.

  10. Fare clic su Identificatore route per gateway VRF per configurare un indirizzo di amministratore per la distinzione delle route.
    Questa operazione è necessaria solo per EVPN in modalità inline.
  11. Per assegnare un identificatore route univoco dal pool di identificatori route a ciascun nodo Edge per VRF EVPN, attivare il commutatore Identificatore route per Edge. Si tenga presente che per la modalità in linea di EVPN, l'Identificatore route viene assegnato da un pool configurato manualmente o da un'assegnazione automatica. Per la modalità route-server di EVPN, l'Identificatore route viene assegnato solo da un pool configurato manualmente.
  12. (Facoltativo) Aggiungere uno o più tag.
  13. Fare clic su Salva.
  14. Per IPv6, in Impostazioni aggiuntive è possibile selezionare o creare un Profilo ND e un Profilo DAD.
    Questi profili vengono utilizzati per configurare Stateless Address Autoconfiguration (SLAAC) e Duplicate Address Detection (DAD) per gli indirizzi IPv6.
  15. (Facoltativo) Fare clic su Impostazioni EVPN per configurare EVPN.
    1. Selezionare una modalità EVPN.
      Le opzioni sono:
      • Inline: in questa modalità EVPN gestisce sia il traffico del piano dati sia il traffico del piano di controllo.
      • Server route: disponibile solo se la modalità HA di questo gateway è attiva-attiva. In questa modalità EVPN gestisce solo il traffico del piano di controllo.
      • Nessuna EVPN
    2. Se la modalità EVPN è Inline, selezionare un pool VNI EVPN/VXLAN o creare un nuovo pool facendo clic sull'icona del menu (3 punti).
    3. Se la modalità EVPN è Server route, selezionare un Tenant EVPN oppure creare un nuovo tenant EVPN facendo clic sull'icona del menu (3 punti).
    4. Nel campo Endpoint tunnel EVPN fare clic su Imposta per aggiungere endpoint del tunnel locale EVPN.
      Per l'endpoint del tunnel, selezionare un nodo dell'Edge e specificare un indirizzo IP.
      Facoltativamente, è possibile specificare il valore MTU.
      Nota: Assicurarsi che l'interfaccia esterna sia stata configurata nel nodo di NSX Edge selezionato per l'endpoint del tunnel EVPN.
  16. Per configurare la ridistribuzione della route, fare clic su Ridistribuzione route e su Imposta.
    Selezionare una o più origini:
    • Subnet di livello 0: Route statiche, IP NAT, IP locale IPSec, IP server di inoltro DNS, Collegamento router, Interfacce e segmenti connessi.

      In Interfacce e segmenti connessi è possibile selezionare uno o più dei valori seguenti: Subnet interfaccia di servizio, Subnet interfaccia esterna, Subnet interfaccia di loopback, Segmento connesso.

    • Subnet di livello 0: Route statiche, IP NAT, IP locale IPSec, IP server di inoltro DNS, IP TEP EVPN, Interfacce e segmenti connessi.

      In Interfacce e segmenti connessi è possibile selezionare uno o più dei valori seguenti: Subnet interfaccia di servizio, Subnet interfaccia esterna, Subnet interfaccia di loopback, Segmento connesso.

    • Subnet di livello 1 annunciate: IP server di inoltro DNS, Route statiche, VIP bilanciamento del carico, IP NAT, IP LB SNAT, Endpoint locale IPSec, Interfacce e segmenti connessi.

      In Interfacce e segmenti connessi è possibile selezionare Subnet interfaccia di servizio e/o Segmento connesso.

  17. Per configurare le interfacce, fare clic su Interfacce e tunnel GRE e quindi su Imposta per Interfacce esterne e di servizio.
    1. Fare clic su Aggiungi interfaccia.
    2. Immettere un nome.
    3. Selezionare una posizione. Tutti i siti di cui è stato eseguito l'onboarding saranno disponibili per la selezione.
    4. Selezionare un tipo.
      Se la modalità HA è attiva-standby, le opzioni sono Esterna, Servizio e Loopback. Se la modalità HA è attiva-attiva, le opzioni sono Esterna e Loopback.
    5. Immettere un indirizzo IP in formato CIDR.
    6. Selezionare un segmento.
    7. Se il tipo di interfaccia non è Servizio, selezionare un nodo NSX Edge.
    8. (Facoltativo) Se il tipo di interfaccia non è Loopback, immettere un valore MTU.
    9. (Facoltativo) Se il tipo di interfaccia è Esterna, è possibile abilitare il multicast impostando PIM (Protocol Independent Multicast) su Abilitato.

      È inoltre possibile configurare quanto segue:

      • Join IGMP locale: immettere uno o più indirizzi IP. Il join IGMP è uno strumento di debug utilizzato per generare (*,g) un join con Rendezvous Point (RP) e fare in modo che il traffico venga inoltrato al nodo in cui il join viene emesso. Per ulteriori informazioni, fare riferimento a Informazioni sull'unione IGMP.
      • Intervallo Hello (secondi): il valore predefinito è 30. L'intervallo è compreso tra 1 e 180. Questo parametro specifica il tempo tra i messaggi Hello. Dopo la modifica, l'Intervallo Hello diventa effettivo solo dopo la scadenza del timer PIM attualmente pianificato.
      • Tempo di attesa (secondi): l'intervallo è compreso tra 1 e 630. Deve essere maggiore dell'Intervallo Hello. Il valore predefinito è 3,5 volte l'Intervallo Hello. Se un router adiacente non riceve un messaggio Hello da questo gateway durante l'intervallo di tempo specificato, il router adiacente considererà il gateway irraggiungibile.
    10. (Facoltativo) Aggiungere tag e selezionare un profilo ND.
    11. (Facoltativo) Se il tipo di interfaccia è Esterna, per Modalità URPF è possibile selezionare Rigida o Nessuna.
      Non è consigliabile eseguire il routing o l'inoltro asimmetrico. Per questo, la modalità URPF è impostata su Rigido per impostazione predefinita.

      Per il routing simmetrico, assicurarsi che la configurazione tra il gateway di livello 0 e i router diretti verso nord sia tale che lo stesso set di prefissi venga annunciato da ogni nodo Edge all'interno di un gateway di livello 0 in un determinato sito. Inoltre, lo stesso set di prefissi deve essere acquisito dai TOR in tutti i nodi Edge di un gateway di livello 0 in un determinato sito.

      Se si dispone di BGP tra il gateway di livello 0 e i router diretti verso nord e si utilizzano mappe di routing o filtri, assicurarsi che questa configurazione sia coerente per le direzioni in entrata e in uscita per tutti i nodi Edge.

      Per un ambiente di federazione con siti primario e secondario, è necessario annunciare percorsi AS più lunghi per gli annunci BGP nei router adiacenti BGP del sito secondario per risolvere l'inoltro asimmetrico.

      Se è necessario il routing asimmetrico, impostare Modalità URPF su Nessuna.

    12. (Facoltativo) Dopo aver creato un'interfaccia, è possibile scaricare l'aggregato di proxy ARP per il gateway facendo clic sull'icona del menu (tre puntini) per l'interfaccia e selezionando Scarica proxy ARP.

      È inoltre possibile scaricare il proxy ARP per un'interfaccia specifica espandendo un gateway e quindi espandendo Interfacce. Fare clic su un'interfaccia, quindi sull'icona del menu (tre puntini) e selezionare Scarica proxy ARP.

      Nota: Non è possibile scaricare il proxy ARP per le interfacce di loopback.
  18. (Facoltativo) Se la modalità HA è attiva-standby, fare clic su Imposta accanto a Configurazione VIP HA per configurare VIP HA.
    Con VIP HA configurato, il gateway di livello 0 è operativo anche se un'interfaccia esterna è inattiva. Il router fisico interagisce solo con VIP HA. VIP HA è progettato per funzionare con il routing statico e non con BGP.
    1. Fare clic su Aggiungi configurazione VIP HA.
    2. Immettere un indirizzo IP e una subnet mask.
      La subnet VIP HA deve essere uguale alla subnet dell'interfaccia a cui è associata.
    3. Selezionare una posizione. Tutti i siti di cui è stato eseguito l'onboarding saranno disponibili per la selezione.
    4. Assicurarsi che la configurazione VIP sia abilitata per la modalità HA.
    5. Selezionare due interfacce di due nodi dell'Edge diversi.
  19. Fare clic su Routing per aggiungere elenchi di prefissi IP, elenchi di community, route statiche e mappe di routing.
  20. Fare clic su Multicast per configurare il routing multicast.
  21. Fare clic su BGP per configurare BGP.
  22. Fare clic su OSPF per configurare OSPF. Questa funzionalità è disponibile a partire da NSX 3.1.1.
  23. (Facoltativo) Per scaricare la tabella di routing o la tabella di inoltro, eseguire i passaggi seguenti:
    1. Fare clic sull'icona del menu (tre punti) e selezionare un'opzione di download.
    2. Immettere i valori di Nodo di trasporto, Rete e Origine come richiesto.
    3. Fare clic su Scarica per salvare il file .CSV.
  24. (Facoltativo) Per scaricare la tabella ARP da un gateway di livello 1 collegato, eseguire le operazioni seguenti:
    1. Nella colonna Gateway di livello 1 collegati fare clic sul numero.
    2. Fare clic sull'icona del menu (3 punti) e selezionare Scarica tabella ARP.
    3. Selezionare un nodo Edge.
    4. Fare clic su Scarica per salvare il file .CSV.

risultati

Il nuovo gateway viene aggiunto all'elenco. È possibile modificarne le configurazioni di qualsiasi gateway facendo clic sull'icona del menu con i tre puntini e scegliendo Modifica. Per le configurazioni seguenti, non è necessario fare clic su Modifica. È sufficiente fare clic sull'icona di espansione (freccia destra) per il gateway, individuare l'entità e fare clic sul numero accanto a essa. Si noti che il numero deve essere diverso da zero. Se è pari a zero, è necessario modificare il gateway.
  • Nella sezione Interfacce: Interfacce esterne e di servizio.
  • Nella sezione Routing: Elenchi di prefissi IP, Route statiche, Peer BFD route statica, Elenchi di community, Mappe di routing.
  • Nella sezione BGP: Router adiacenti BGP.

Se è configurata federazione di NSX, questa funzionalità di riconfigurazione di un gateway facendo clic su un'entità è applicabile anche ai gateway creati da Global Manager (GM). Si noti che alcune entità in un gateway creato da GM possono essere modificate dal Local Manager, ma non tutte. Ad esempio, un Local Manager non può modificare gli Elenchi di prefissi IP di un gateway creato con GM. Inoltre, dal Local Manager, è possibile modificare le Interfacce esterne e di servizio esistenti di un gateway creato con GM, ma non è possibile aggiungere un'interfaccia.