第 0 層閘道具有與第 1 層閘道的下行連線,以及與實體網路的外部連線。

如果要從NSX 聯盟中的全域管理程式新增第 0 層閘道,請參閱〈從全域管理程式新增第 0 層閘道〉。

您可以將第 0 層閘道的 HA (高可用性) 模式設定為作用中/作用中式或作用中/待命。下列服務僅在作用中/待命模式中受到支援:
  • NAT
  • 負載平衡
  • 可設定狀態的防火牆
  • VPN
第 0 層和第 1 層閘道在單一階層和多層拓撲中支援所有介面 (外部介面、服務介面和下行) 的下列定址組態:
  • 僅限 IPv4
  • 僅限 IPv6
  • 雙重堆疊 - IPv4 和 IPv6 兩者
若要使用 IPv6 或雙重堆疊定址,請在 網路 > 網路設定 > 全域網路組態中啟用 IPv4 和 IPv6 作為第 3 層轉送模式。

您可以設定第 0 層閘道,以支援 EVPN (乙太網路 VPN)。如需有關設定 EVPN 的詳細資訊,請參閱乙太網路 VPN (EVPN)

如果您為第 0 層閘道設定路由重新分配,則有兩個來源群組可供選取:第 0 層子網路和通告的第 1 層子網路。第 0 層子網路群組中的來源為:
來源類型 說明
已連線的介面與區段 重新分配在與第 0 層區段、第 0 層 DNS 轉寄站 IP、第 0 層 IPSec 本機 IP 和第 0 層 NAT 類型相關的介面和路由上設定的所有子網路。重新分配在連線至第 0 層的區段上設定的子網路。
靜態路由 重新分配您在第 0 層閘道上設定的靜態路由。
NAT IP 重新分配由第 0 層閘道所擁有,並從第 0 層閘道上設定的 NAT 規則中探索到的 NAT IP。
IPSec 本機 IP 重新分配用來建立 VPN 工作階段的本機 IPSec 端點 IP 位址。重新分配 IPSec 子網路。
DNS 轉寄站 IP 重新分配負責處理來自用戶端的 DNS 查詢,同時作為來源 IP 用來將 DNS 查詢轉送至上游 DNS 伺服器的接聽程式 IP。重新分配 DNS 轉寄站子網路。
EVPN TEP IP 在第 0 層上重新分配 EVPN 本機端點子網路。
VRF 間靜態 重新分配第 0 層或 VRF 執行個體通告的 IP。
路由器連結 在第 0 層閘道上重新分配路由器連結連接埠子網路。
通告的第 1 層子網路群組中的來源為:
來源類型 說明
已連線的介面與區段
  • 重新分配在區段上設定並從連線的第 1 層閘道通告的子網路。
  • 重新分配在 NSX VPC 中設定並從連線的 NSX VPC 通告的子網路。
  • NSX VPC 將其所有公用子網路通告到連線的第 0 層閘道。
靜態路由 重新分配第 1 層閘道或 NSX VPC 通告的所有子網路和靜態路由。
NAT IP 重新分配由第 1 層閘道或 NSX VPC 所擁有,並從第 1 層閘道或 NSX VPC 上設定的 NAT 規則中探索到的 NAT IP 位址。
LB VIP 重新分配負載平衡虛擬伺服器的 IP 位址。
LB SNAT IP 重新分配由負載平衡器用於來源 NAT 的 IP 位址或 IP 位址範圍。
DNS 轉寄站 IP 重新分配負責處理來自用戶端的 DNS 查詢,同時作為來源 IP 用來將 DNS 查詢轉送至上游 DNS 伺服器的接聽程式 IP。
IPSec 本機端點 重新分配 IPSec 本機端點的 IP 位址。

當 NAT 規則或負載平衡器 VIP 所使用的 IP 位址來自第 0 層閘道外部介面的子網路時,會在第 0 層閘道上自動啟用 Proxy ARP。透過啟用 Proxy ARP,覆疊區段上的主機和 VLAN 區段上的主機可以共同交換網路流量,而無需在實體網路架構中實作任何變更。

如需有關 Proxy ARP 拓撲中封包流量的詳細範例,請參閱 VMware 社群入口網站上的NSX 參考設計指南》

作用中/待命組態中的第 0 層閘道上支援 Proxy ARP,它會回應外部和服務介面 IP 的 ARP 查詢。Proxy ARP 還會回應 IP 首碼清單中設有 Permit 動作的服務 IP ARP 查詢。

作用中/作用中組態中的第 0 層閘道也支援 Proxy ARP。不過,作用中/作用中第 0 層組態中的所有 Edge 節點都必須能夠直接連線至需要 Proxy ARP 的網路。換句話說,您必須在參與第 0 層閘道的所有 Edge 節點上,設定外部介面和服務介面,Proxy ARP 才能正常運作。

從 NSX 4.1.1 開始,您可以透過以下 API,瞭解第 0 層閘道的路由總數。如需有關這些 API 的詳細資訊,請參閱《NSX API 指南》

GET /policy/api/v1/infra/tier-0s/{tier-0-id}/number-of-routes
GET /policy/api/v1/global-infra/tier-0s/{tier-0-id}/number-of-routes

必要條件

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 選取網路 > 第 0 層閘道
  3. 選取新增第 0 層閘道
  4. 輸入閘道的名稱。
  5. 選取 HA (高可用性) 模式。
    預設模式為作用中/作用中。在作用中/作用中式模式中,流量會在所有成員間進行負載平衡。在作用中/待命模式中,所有流量都由選擇的作用中成員處理。如果作用中成員故障,則系統會選擇新成員以成為作用中狀態。
  6. 如果 HA 模式為作用中/待命,請選取容錯移轉模式。
    選項 說明
    先佔式 若偏好的節點失敗並復原,則它將會取代其對等項而成為作用中節點。該對等項的狀態會變更為待命。
    非先佔式 若偏好的節點失敗並復原,則它將會檢查其對等項是否為作用中節點。如果是,則偏好的節點不會取代其對等項,且將會成為待命節點。
  7. (選擇性) 選取 NSX Edge 叢集。
  8. (選擇性) 按一下設定以在閘道上新增 DHCP 組態
  9. (選擇性) 按一下其他設定
    1. 內部傳輸子網路欄位中,輸入子網路。
      這是用於在此閘道內元件之間通訊的子網路。預設值為 169.254.0.0/24。
    2. T0-T1 傳輸子網路欄位中,輸入一或多個子網路。
      這些子網路用於此閘道和與其連結的所有第 1 層閘道之間的通訊。建立此閘道並將第 1 層閘道與其連結後,您會看到指派給第 0 層閘道端和第 1 層閘道端上連結的實際 IP 位址。位址會顯示在第 0 層閘道頁面和第 1 層閘道頁面上的 其他設定 > 路由器連結。預設值為 100.64.0.0/16。

      建立第 0 層閘道後,您可以編輯閘道來變更 T0-T1 傳輸子網路。請注意,這將導致流量短暫中斷。

    3. 轉送累計計時器欄位中,輸入一個時間。

      轉送累計計時器定義在建立第一個 BGP、BFD 或 OSPF 工作階段之後,路由器在傳送累計通知之前必須等待的時間 (以秒為單位)。若要對 NSX Edge 上使用動態路由 (BGP 或 OSPF) 之第 0 層閘道的作用中/作用中或作用中/待命組態進行容錯移轉,則此計時器 (先前稱為轉送延遲) 會將停機時間減少至最短。計時器應該設為在第一個 BGP/OSPF 工作階段之後,外部路由器 (TOR) 對 NSX Edge 通告所有路由所花費的秒數。此計時器的預設值為 5 秒。對於在 NSX Edge 上學習到較大規模路由的環境,應將該值增加到更大的值。通常,第 0 層閘道必須具有備援 Edge 節點。如果備援 Edge 節點無法使用,則應將此計時器設定為 0。

  10. 按一下 VRF 閘道的路由辨別碼,以設定路由辨別碼管理員位址。
    僅內嵌模式中的 EVPN 才需要此項目。
  11. (選擇性) 新增一或多個標籤。
  12. 按一下儲存
  13. 對於 IPv6,在其他設定下,您可以選取或建立 ND 設定檔DAD 設定檔
    這些設定檔可用來設定 IPv6 位址的無狀態位址自動組態 (SLAAC) 和重複位址偵測 (DAD)。
  14. (選擇性) 按一下 EVPN 設定以設定 EVPN。
    1. 選取 EVPN 模式。
      選項包括:
      • 內嵌 - 在此模式中,EVPN 會同時處理數據平面和控制平面流量。
      • 路由伺服器 - 僅在此閘道的 HA 模式為作用中/作用中式時可用。在此模式中,EVPN 僅會處理控制平面流量。
      • 無 EVPN
    2. 如果 EVPN 模式為內嵌,請選取 EVPN/VXLAN VNI 集區,或按一下功能表圖示 (3 個點) 以建立新集區。
    3. 如果 EVPN 模式為路由伺服器,請選取 EVPN 承租人,或按一下功能表圖示 (3 個點) 以建立新的 EVPN 承租人。
    4. EVPN 通道端點欄位中,按一下設定以新增 EVPN 本機通道端點。
      對於通道端點,選取 Edge 節點並指定 IP 位址。
      您可以選擇性地指定 MTU。
      備註: 確保已在您為 EVPN 通道端點選取的 NSX Edge 節點上已設定外部介面。
  15. 若要設定路由重新分配,請按一下路由重新分配設定
    選取一或多個來源:
    • 第 0 層子網路:靜態路由NAT IPIPSec 本機 IPDNS 轉寄站 IP路由器連結已連線的介面與區段

      已連線的介面與區段下,您可以選取下列一或多項:服務介面子網路外部介面子網路回送介面子網路已連線的區段

    • 第 0 層子網路:靜態路由NAT IPIPSec 本機 IPDNS 轉寄站 IPEVPN TEP IP已連線的介面與區段

      已連線的介面與區段下,您可以選取下列一或多項:服務介面子網路外部介面子網路回送介面子網路已連線的區段

    • 通告的第 1 層子網路:DNS 轉寄站 IP靜態路由LB VIPNAT IPLB SNAT IPIPSec 本機端點已連線的介面與區段

      已連線的介面與區段下,您可以選取服務介面子網路和/或已連線的區段

  16. 若要設定介面,請按一下介面和 GRE 通道,然後按一下外部和服務介面設定
    1. 按一下新增介面
    2. 輸入名稱。
    3. 選取位置。所有已上線的站台都可供選取。
    4. 選取類型。
      如果 HA 模式為作用中/待命,則選項為 外部服務回送。如果 HA 模式為作用中/作用中式,則選項為 外部回送
    5. 以 CIDR 格式輸入 IP 位址。
    6. 選取區段。
    7. 如果介面類型不是服務,請選取 NSX Edge 節點。
    8. (選擇性) 如果介面類型不是回送,請輸入 MTU 值。
    9. (選擇性) 如果介面類型為外部,您可以透過將 PIM (通訊協定獨立多點傳播) 設定為已啟用來啟用多點傳播。

      您也可以設定下列項目:

      • IGMP 加入本機 - 輸入一或多個 IP 位址。IGMP 加入是一項偵錯工具,用於產生 (*,g) 加入集合點 (RP),並將流量轉送至發出加入的節點。如需詳細資訊,請參閱關於 IGMP 加入
      • 問詢間隔 (秒) - 預設值為 30。範圍為 1 - 180。此參數指定問詢訊息之間的時間。問詢間隔變更後,只有在目前排程的 PIM 計時器到期後才會生效
      • 保存時間 (秒) - 範圍為 1 到 630。必須大於問詢間隔。預設值為問詢間隔的 3.5 倍。如果在此間隔內,芳鄰未從此閘道接收問詢訊息,則芳鄰會將此閘道視為無法連線。
    10. (選擇性) 新增標籤,然後選取 ND 設定檔。
    11. (選擇性) 如果介面類型為外部,則對於 URPF 模式,您可以選取嚴格
      不建議使用非對稱路由或轉送。因此,依預設, URPF 模式設定為 嚴格

      對於對稱路由,請確保第 0 層閘道和北向路由器之間的組態能夠從給定站台上第 0 層閘道中的每個 Edge 節點通告相同的首碼集。此外,必須從給定站台上第 0 層閘道的所有 Edge 節點上的 TOR 中學習相同的首碼集。

      如果在第 0 層閘道和北向路由器之間具有 BGP,並使用路由對應或篩選器,請確保此組態在所有 Edge 節點的輸入和輸出方向上保持一致。

      對於具有主要站台和次要站台的聯盟環境,應在主要站台 BGP 芳鄰上通告較長的 AS 路徑以進行 BGP 通告,從而解決非對稱轉送問題。

      如果需要非對稱路由,請將 URPF 模式設定為

    12. (選擇性) 建立介面之後,您可以按一下介面的功能表圖示 (三個點),然後選取下載 ARP Proxy 來下載閘道的 ARP Proxy 彙總。

      您也可以展開閘道,然後展開介面以下載特定介面的 ARP Proxy。按一下介面,按一下功能表圖示 (三個點),然後選取下載 ARP Proxy

      備註: 您無法下載回送介面的 ARP Proxy。
  17. (選擇性) 如果 HA 模式為作用中/待命,請按一下 HA VIP 組態旁的設定,以設定 HA VIP。
    已設定 HA VIP 時,即使一個外部介面已關閉,第 0 層閘道仍可運作。實體路由器只會與 HA VIP 互動。HA VIP 旨在與靜態路由 (而非 BGP) 搭配使用。
    1. 按一下新增 HA VIP 組態
    2. 輸入 IP 位址和子網路遮罩。
      HA VIP 子網路必須與其繫結之介面的子網路相同。
    3. 選取位置。所有已上線的站台都可供選取。
    4. 請確定為 HA 模式啟用 VIP 組態。
    5. 選取來自兩個不同 Edge 節點的兩個介面。
  18. 按一下路由以新增 IP 首碼清單、社群清單、靜態路由和路由對應。
  19. 按一下多點傳播以設定多點傳播路由。
  20. 按一下 BGP 以設定 BGP。
  21. 按一下 OSPF 以設定 OSPF。從 NSX 3.1.1 開始提供此功能。
  22. (選擇性) 若要下載路由表或轉送表,請執行下列操作:
    1. 按一下功能表圖示 (三個點),然後選取下載選項。
    2. 根據需要輸入傳輸節點網路來源的值。
    3. 按一下下載以儲存 .CSV 檔案。
  23. (選擇性) 若要從連結的第 1 層閘道下載 ARP 資料表,請執行下列操作:
    1. 連結的第 1 層閘道資料行中按一下此數字。
    2. 按一下功能表圖示 (3 個點),然後選取下載 ARP 資料表
    3. 選取一個 Edge 節點。
    4. 按一下下載以儲存 .CSV 檔案。

結果

新閘道將新增到清單中。對於任何閘道,您可以透過按一下功能表圖示 (3 個點) 並選取 編輯,以修改其組態。對於下列組態,您不需要按一下 編輯。您只需按一下閘道的展開圖示 (向右箭頭),找到實體,然後按一下該實體旁邊的數字。請注意,數字必須為非零。如果為零,則必須編輯閘道。
  • 介面區段中:外部和服務介面
  • 路由區段中:IP 首碼清單靜態路由靜態路由 BFD 對等社群清單路由對應
  • BGP 區段中:BGP 芳鄰

如果已設定 NSX 聯盟,則透過按一下實體來重新設定閘道的這項功能,也適用於全域管理程式 (GM) 建立的閘道。請注意,GM 建立的閘道中的某些實體可由本機管理程式修改,但其他實體則無法修改。例如,本機管理程式無法修改 GM 所建立閘道的 IP 首碼清單。此外,您也可以從本機管理程式編輯 GM 所建立閘道的現有外部和服務介面,但無法新增介面。