posted

0 Comments

作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。

經過了這麼多篇關於邏輯交換器、Geneve、T0 / T1、SR / DR、Packet Walk的討論,大家是不是都忘記了本來我們要做什麼呢?誒我們要利用已經安裝好的NSX-T環境,來建立一個標準的應用三層式架構,如本系列網誌第一篇投出的示意圖:

 

在之前,我們已經把5個邏輯交換器LS-Demo-Web / LS-Demo-AP / LS-Demo-DB / LS-Edge-Uplink-1 / LS-Edge-Uplink-2建立完成。接下來我們要做的是將Tier-0 / Tier-1邏輯路由器建立,並且將邏輯環境與外部的實體網路環境間的路由協定建立完成。

不採用完全Step-By-Step的方式,但接下來這兩篇會依序就要進行的配置進行說明

1. 建立T0邏輯路由器

需要做的事情包括了

  • 管理介面內選擇增加一台Tier-0 Router
  • 給他取個名字
  • 選擇一個Edge Cluster。這台Tier-0 Router的SR構件,會放置在隸屬於這個Edge Cluster的Edge-TN內
  • 選擇這個T0路由器要採用Active-Active (ECMP, Equal Cost Multiple Path) 或是Active-Standby模式。
  • 如果選擇採用Active-Standby模式,可繼續往下選是要採用Preemptive / Non-Preemptive機制,還有如果是Preemptive的話,哪一台Edge是主要的Active角色

我知道前面這兩個與High-Availability相關的配置大家應該看得一頭霧水,後面的網誌我會和大家再討論NSX-T內的HA機制。這邊就請大家先這樣配就好,比如說像下圖的參考:

 

 

2. 配置T0邏輯路由器的Uplink介面

點擊在上面步驟產出的Tier-0路由器後,在Configuration內點選Router Ports,並按Add增加一個Router Port

  • 輸入這個Router Port的可讓管理者識別的名稱
  • Type選擇為Uplink。僅有Uplink介面可以連接實體環境,並且配置Stateful Services像是NAT或是南北向防火牆
  • MTU 1500不用動(Uplink是往VLAN那邊連接,並非Geneve)
  • 選擇這個Uplink應所在的Transport Node,NSX-T會將這個邏輯路由器所屬的Edge Node列出讓管理者選擇。管理者這邊所選出的Edge Node,代表著這個Uplink實際上是透過哪個Edge VM ( or Bare-Metal Edge) 與實體網路連接,NSX-T會在這裡選出的Edge上面,建立對應這個T0邏輯路由器的SR
  • Logical Switch部份,選擇在前面步驟裡配置出,於對應Edge Transport Zone內,以VLAN方式建立的邏輯交換器,比如說前面配置的LS-Edge-Uplink-1或是LS-Edge-Uplink-2
  • IP Address/Mask的地方,將這個Uplink Port對應的IP地址與遮罩填入,如最前面示意圖上的172.18.91.11/24這樣

如果只是功能展示,T0路由器建一個Uplink Port就可以。但在生產環境內,請一定要建兩個以上的Uplink,這樣才能保持與實體網路間有多個介面,確保線路出問題時之備援切換。下圖內是對應的配置示意:

這裡配置完後,從外部實體網路上應該就要能連到這個Uplink-Port的IP地址了。也就是說,在實體網路上的設備,去ping剛剛配置的172.18.91.11 / 172.18.92.11應該要能夠通

3. 與外部實體網路環境間的路由配置

我們當然可以設定Static Route就好,但採用EBGP的方式能夠有更多彈性。請參考在最前圖內的右邊部分EBGP配置:

  • 實體網路設備上,管理者應先配置好EBGP的相關設定,並且設定neighbor關係到T0路由器的兩個Uplink介面上。此外,通常往Internet一定是由實體網路出去,因此通常會把default-route originate設定啟用
  • 回到NSX-T T0路由器管理介面內,選擇Routing展開,大家可以看到滿滿的BGP配置選項,有沒有感覺興奮起來了呢?請直接選擇BGP
  • 這個頁面內,首先要把Status變成啟用。接著輸入Local AS Number。ECMP的選項需要用時再打開。
  • 按Add增加兩個BGP Neighbor。此時在Neighbor工作頁下,輸入Neighbor的IP地址、Remote AS、以及其他必要的Keep Alive / Hold Down Timer / Password等,和大部分設備的BGP基礎配置一樣。
下圖是我的展示環境內BGP配置:
此外從Edge VM的command line介面,以及外部路由器的指令行上,也可以看到BGP Neighbor的關係建起來了,如下圖。

 

 

4. BGP Route-Redistribution

其他的像是Community / Route-Map等等這些BGP路徑控制或限制等等的不談,但至少我們需要把Route-Redistribute給配置起來,不然Tier-0路由器不會把NSX-T內的路由往外送。在Routing下面的Route-Redistribution頁面內,我們需要作下列事情:

  • 把Route-Redistribution打開
  • 建立一個Redistribution Criteria。裡面建議先把NSX Connected / NSX Static / Tier-1 LB VIP / Tier-1 NAT這幾個打開,其他的看實際環境配置狀況。這邊我們需要和大家解釋一下各個選項分別是什麼:

 

  1. Static: 這台邏輯路由器內有設定的靜態路由
  2. NSX Connected: 這台邏輯路由器本身的直連網段(有配置的Router-Port Downlink介面)
  3. NSX Static: 在Tier-1路由器接到Tier-0路由器後,Tier-1路由器上透過Route Advertisement,告知Tier-0的邏輯網段(簡而言之就是在Tier-1路由器上的直連網段,像是最前面圖上的192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24這些
  4. Tier-0 NAT / Tier-1 NAT: 在Tier-0路由器 / 下面連接的Tier-1路由器上,有配置出的NAT IP
  5. Tier-1 LB VIP / Tier-1 LB SNAT: 下面連接的Tier-1路由器上掛載的Load Balancer所配置的Virtual IP / SNAT IP

展示畫面如下:

 

 

終於把Tier-0路由器配置完成了!但當然還沒完,接下來的網誌我們要繼續往下配Tier-1路由器。