網路虛擬化NSX 技術文章系列一百一十七 : NSX-T Data Center：概念及功能實作（六）繼續討論T0與T1路由器

作者： Colin Jao 饒康立 – VMware資深技術顧問，主要負責VMware NSX產品線，目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。

上篇我們進行T0與T1路由器的初步介紹，接下來本篇我們就常被客戶與夥伴問到的相關問題進行回應與討論。很快回憶一下，T0 Router是由NSX管理者配置，主要負責與實體網路環境連接。而T1 Router除了由NSX管理者配置外，也常由外部的自動化系統產生，作為單一租戶、應用、部門的南北向連接與網路服務。

為什麼一定要區分T0與T1，我的環境比較小，可以只用T0路由器嗎？

區分T0 / T1是為了將租戶的業務網路，以及NSX環境內的基礎架構環境分開，並且讓管理維運也能夠很方便地劃出Infra管理者與Tenant管理者間的界限。但在一個小型環境，可以只用T0路由器，同時負責對外的網路連結，以及內部的邏輯網路互聯，如下圖。

• T0路由器上面並不提供Load Balancer服務。如果這個環境內需要Load Balancer需要另外想辦法，比如說建個T1路由器…🙂
• 這個環境應該都是手動建立的，不會有自動化系統的整合

那反過來，可以只用T1路由器嗎？

雖然使用情境極度的罕見，但可以。只是很明確，T1路由器不能連接到外面的實體環境，所以這個環境沒有外部企業網路或是Internet的連結，如下圖。如果用戶想要建一個完全封閉，與外部無關的環境，可以只建單一的T1路由器

T0與T1路由器間的關聯是什麼，如何進行路由交換？

• 當Tier-1路由器建立，管理者可以直接選擇要接到哪一台Tier-0 Router。此時，T0 / T1路由器間會自動由10.64.0.0/16內挑一段/31兩個IP的直連網段來建立T0 / T1間的router-link
• T0 / T1間會自動以靜態路由做路由宣告。T0會宣告Default Route給T1。而在T1 Router上，可以透過Route Advertisement，宣告有哪些由Tier-1連接或管理的路由，要送給T0
• 下圖內可以看到，於T1路由器內，我們可以把下列種類的網段藉由Route Advertisement機制告知上層的T0，包含了T1的直連網段 (NSX Connected Routes)、T1上建立的NAT轉址IP (NAT Routes)、靜態路由 (NSX Static Routes)、以及透過Load Balancer機制所建立的Virtual Server IP以及SNAT IP等

 

T0路由器的對外連結機制為何？

T0路由器需要對外連接時，會藉由NSX-T環境內的Edge Node與實體網路的vlan連接建立與企業路由器間的網路連通。通常為了互為備援機制，T0路由器可以網上接到不同的企業路由器，如下圖。我們可以看到

• 在T0路由器與外部路由器間，目前的NSX-T版本支援標準EBGP的路由協定，當然也可以採用靜態路由配置
• 無論是採用EBGP或是靜態路由，T0路由器與實體網路間可以跑到多達8條路徑的ECMP (Equal-Cost Multi Path)機制。
• T0是邏輯存在的，所以上圖雖然看起來好像只有一台T0 Router，但這個T0 Router實際上存在於多台Edge Node上（上圖內的EN1 / EN2）。所以沒有單台失效問題
• 如果運作EBGP，T0可以透過Route Redistribution機制，控制有哪些路由要不要為外部企業環境所知，包含了T0自己的直連網段與NAT IP，或是來自這台T0路由器所管轄的T1 Router上的直連網段、NAT、負載平衡VIP等等

T0與T1路由器除了網路連接，有哪些上層服務？

• T0上可以提供NAT、南北向防火牆功能（負責防護與實體網路之間的安全阻隔）、以及VPN功能（L2VPN or IPSEC VPN）
• T1上可以提供NAT與南北向防火牆功能（負責這台T1 Router的內部網段與其他環境間的安全阻隔），以及標準的本地負載平衡器 (Load Balancer) 功能

所以T0與T1路由器實體上到底在哪裡？