posted

0 Comments

作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。

上篇我們進行T0與T1路由器的初步介紹,接下來本篇我們就常被客戶與夥伴問到的相關問題進行回應與討論。很快回憶一下,T0 Router是由NSX管理者配置,主要負責與實體網路環境連接。而T1 Router除了由NSX管理者配置外,也常由外部的自動化系統產生,作為單一租戶、應用、部門的南北向連接與網路服務。

 

為什麼一定要區分T0與T1,我的環境比較小,可以只用T0路由器嗎?

區分T0 / T1是為了將租戶的業務網路,以及NSX環境內的基礎架構環境分開,並且讓管理維運也能夠很方便地劃出Infra管理者與Tenant管理者間的界限。但在一個小型環境,可以只用T0路由器,同時負責對外的網路連結,以及內部的邏輯網路互聯,如下圖。

 

 

上圖內,20.20.20.0/24與30.30.30.0/24兩個邏輯網段間的路由,與外部企業網路或是Internet的連接,或是對實體網路間的上層服務如NAT / 南北向防火牆,都可以在T0路由器上面進行配置。但如果不用T1 Router,大家需要考慮
  • T0路由器上面並不提供Load Balancer服務。如果這個環境內需要Load Balancer需要另外想辦法,比如說建個T1路由器…
  • 這個環境應該都是手動建立的,不會有自動化系統的整合

那反過來,可以只用T1路由器嗎?

雖然使用情境極度的罕見,但可以。只是很明確,T1路由器不能連接到外面的實體環境,所以這個環境沒有外部企業網路或是Internet的連結,如下圖。如果用戶想要建一個完全封閉,與外部無關的環境,可以只建單一的T1路由器

 

 

T0與T1路由器間的關聯是什麼,如何進行路由交換?

T0與T1路由器間的網路連結與路由交換是由NSX-T內部負責,管理者在建立一台T1路由器時,只需要告知NSX這台T1路由器是要接到哪台T0上,以及有哪些路由可以讓外部環境看到(哪些路由要讓外部的T0與實體網路知道)。幾個簡單的技術細節我們用下圖進行說明:
  • 當Tier-1路由器建立,管理者可以直接選擇要接到哪一台Tier-0 Router。此時,T0 / T1路由器間會自動由10.64.0.0/16內挑一段/31兩個IP的直連網段來建立T0 / T1間的router-link
  • T0 / T1間會自動以靜態路由做路由宣告。T0會宣告Default Route給T1。而在T1 Router上,可以透過Route Advertisement,宣告有哪些由Tier-1連接或管理的路由,要送給T0
  • 下圖內可以看到,於T1路由器內,我們可以把下列種類的網段藉由Route Advertisement機制告知上層的T0,包含了T1的直連網段 (NSX Connected Routes)、T1上建立的NAT轉址IP (NAT Routes)、靜態路由 (NSX Static Routes)、以及透過Load Balancer機制所建立的Virtual Server IP以及SNAT IP等

 

T0路由器的對外連結機制為何?

T0路由器需要對外連接時,會藉由NSX-T環境內的Edge Node與實體網路的vlan連接建立與企業路由器間的網路連通。通常為了互為備援機制,T0路由器可以網上接到不同的企業路由器,如下圖。我們可以看到

 

 

  • 在T0路由器與外部路由器間,目前的NSX-T版本支援標準EBGP的路由協定,當然也可以採用靜態路由配置
  • 無論是採用EBGP或是靜態路由,T0路由器與實體網路間可以跑到多達8條路徑的ECMP (Equal-Cost Multi Path)機制。
  • T0是邏輯存在的,所以上圖雖然看起來好像只有一台T0 Router,但這個T0 Router實際上存在於多台Edge Node上(上圖內的EN1 / EN2)。所以沒有單台失效問題
  • 如果運作EBGP,T0可以透過Route Redistribution機制,控制有哪些路由要不要為外部企業環境所知,包含了T0自己的直連網段與NAT IP,或是來自這台T0路由器所管轄的T1 Router上的直連網段、NAT、負載平衡VIP等等

T0與T1路由器除了網路連接,有哪些上層服務?

T0與T1 Router除了標準路由功能外,都可以跑上層的網路或安全服務,但有差異:
  • T0上可以提供NAT、南北向防火牆功能(負責防護與實體網路之間的安全阻隔)、以及VPN功能(L2VPN or IPSEC VPN)
  • T1上可以提供NAT與南北向防火牆功能(負責這台T1 Router的內部網段與其他環境間的安全阻隔),以及標準的本地負載平衡器 (Load Balancer) 功能

所以T0與T1路由器實體上到底在哪裡?

這是一個很複雜的問題…
為了回答這個複雜的問題,下一篇網誌內,我們要說明路由器內另外的角色分類:Service Router (SR) 以及Distributed Router (DR)。