posted

0 Comments

作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。

這一篇內我們希望與大家進一步透過圖形化的展示,介紹T0/T1與SR/DR間的關連。回憶一下前幾篇內長篇大論與大家說明的觀念:

  • Tier-0 / Tier-1是管理者或用戶所配置出的邏輯網路構件,提供路由以及其他的上層網路或安全服務
  • Tier-0 / Tier-1邏輯路由器的功能,是由實際建立於Transport Node裡的Service Router / Distributed Router實體元件來提供

管理者需要配置的是Tier-0 / Tier-1等邏輯路由器,對應的Service Router / Distributed Router會由NSX-T自動產出。下圖內,管理者先產出了一台Tier-0路由器,並且分別建立了兩個Uplink,連結到不同的上層企業實體路由器:

 

 

此時,在NSX-T管控的Transport Node內分別建立了對應這個Tier-0邏輯路由器的Service Router / Distributed Router,如下圖。

  • 由於這個Tier-0路由器配置了兩個uplink介面連接到不同的外部實體路由器,因此兩個Edge Node上都各自建立了對應的Service Router與上層連接。請注意到SR只會存在於Edge Node上,不會在vSphere / KVM等組成的其他Transport Node上
  • 在各Transport Node,包含各台Edge Nodes以及vSphere / KVM等組成的其他Transport Node上,建立對應這個Tier-0路由器的Distributed Router
  • 在Service Router / Distributed Router間,會由NSX-T自動建立,用戶無需看到的Transit Switch來連接。這個Transit Switch會配在169.254.0.0/24網段內

 

 

接著,NSX-T Infra管理者或是用戶管理者配置了一個Tier-1邏輯路由器,並且設定

  • 把這個Tier-1路由器接取到前面配置的T0 Router。
  • 在此Tier-1路由器上,連接一個邏輯交換器網段為172.16.101.0/24
  • 在此Tier-1路由器上,建立上層NAT的配置

 

 

下圖內,當這台具備上層服務的Tier-1邏輯路由器建立,於實際的各個Transport Node上,

  • 在所有的Transport Node,包含各台Edge Nodes以及vSphere / KVM等組成的其他Transport Node上,都建立對應這個Tier-1路由器的Distributed Router
  • 每個DR的轉發表內都定義,這個Tier-1的Distributed Router會連接到172.16.101.0/24這個邏輯交換器
  • 因為這個Tier-1的邏輯路由器上啟用了上層服務 (這邊是NAT) ,因此在Edge Nodes上建立了對應這個邏輯路由器的Service Router。Tier-1 Router是採用Active Standby的方式備援,因此NSX-T於兩台Edge Node上分別建立Active與Standby的Service Router。同樣地,Service Router與Distributed Router間的溝通也是透過內部定義的169.254網段
  • 因為此T1路由器往上連接到T0,這台T1的SR構件往上面的T0-DR間,建立了NSX-T自行配置的Router Link 100.64.16.0/31網段

 

 

更進一步,假設客戶又建立另一個Tier-1,但只有路由功能沒有上層服務,如下圖

 

 

此時,

  • 在所有的Transport Node,包含各台Edge Nodes以及vSphere / KVM等組成的其他Transport Node上,都建立對應這個Tier-1路由器的Distributed Router
  • 每個DR的轉發表內都定義,這個Tier-1的Distributed Router會連接到172.16.20.0/24與172.16.30.0/24兩個邏輯交換器
  • 但因為這個Tier-1的邏輯路由器上未啟用上層服務,因此就沒有Service Router建立。此T1路由器的往上連接到T0時,是由T1的DR直接連到T0的DR去

 

抓幾個展示環境內的實際command line給各位看。我建了一個叫做NSXT-Demo-T0-AS的Tier-0路由器,並且選擇在nsx-t-edge01 / nsx-t-edge03上各建立一個uplink到外部。此外,建立一個叫做CRM-Demo-T1的Tier-1路由器,同樣選擇配置Active/Standby到nsx-t-edge01 / nsx-t-edge03。NSXT-Demo-T0-AS這台路由器會連接到實體環境,而CRM-Demo-T1這台T1 Router上面有Load Balancer的配置,因此他們都會有對應的Service Router。

首先,在nsx-t-edge01這台Edge Node內,可以看到針對這兩個T0 / T1的路由器的對應SR與DR

 

 

而在nsx-t-edge03這台EdgeNode內,也可以看到對應到同樣T0 / T1的路由器的SR與DR。大家可以看到,對應到同一台T0或T1的Distributed Router的ID是一模一樣的
而在一個vSphere的Transport Node nsx-t-esxi03上,可以看到同樣對應到NSXT-Demo-T0-AS的DR (ID是3d382e93….) 與對應到CRM-Demo-T1的DR (ID是5c1016f8….) ,也都有配置出來
已經有點太長。下一篇,我們繼續用前面的例子,來看實際NSX-T內的封包繞送關係。