vm.gowatana.jp

NEOにほんごVMware(仮)

NSX-T 3.0: DFW を VLAN セグメントで使用してみる。(前編)

NSX-T の分散ファイアウォール(DFW)は、NSX-T のセグメント(オーバーレイ or VLAN)で機能します。今回は、VLAN セグメントでも DFW が利用できることを確認してみます。

ラボ環境について

今回のラボ環境は、下記のように用意してあります。特にオーバーレイ ネットワークやルーティング機能などは準備せず、ただ「VLAN セグメント」が利用できるようになっています。

NSX-T 3.0 のシンプルな DFW ラボを構築する。 - vm.gowatana.jp

まず、NSX Manager の画面から確認しておきます。

NSX-T では、VLAN セグメント「seg-vlan-0006」を作成してあります。セグメントはオーバーレイではなく、VLAN のトランスポート ゾーンに作成し、VLAN ID 6 を設定しています。つまりこれは NSX-T で作成されたセグメントですが、Geneve のオーバーレイではなく VLAN によるものです。

f:id:gowatana:20201127084728p:plain

vCenter(の vSphere Client)で vDS「vds-21」を確認すると、「seg-vlan-0006」が表示されており、NSX の「N」マークがついています。

さらに、dvpg-vlan-0006 という NSX-T に関係しない、VLAN ID 6 の分散ポートグループも別途作成してあります。この分散ポートグループは次の投稿で利用します。

f:id:gowatana:20201127084745p:plain

VM「vm01」の vNIC に、ポートグループとして NSX-T による VLAN セグメントを割り当てました。なお、この VM の IP アドレスは 10.0.6.91 です。あとで、このアドレス宛に疎通確認します。

f:id:gowatana:20201127084756p:plain

ESXi ホスト「192.168.10.21」で仮想スイッチの構成を確認すると、1つの vDS だけが構成されてます。この vDS は NSX と統合されており、「NSX 仮想スイッチ」となっていることがわかります。

分散ポートグループやセグメントは、トポロジの図では実際に使用されているものだけが表示されています。

f:id:gowatana:20201127084810p:plain

DFW ポリシー / ルールの作成

NSX Manager で、DFW のポリシーとルールを作成します。

今回は、デフォルトで作成されているポリシーはそのままで、あえてポリシーを追加作成します。そして、ルールの適用有無が分かりやすいように、すべての通信を許可 / 遮断するためのルールを、1つだけ作成します。

「セキュリティ」→「分散ファイアウォール」→「カテゴリ固有のルール」→「アプリケーション」を開きます。

デフォルト作成されるポリシー「Default Layer3 Section 」には、すべての通信を「許可」するルールが設定されているので、今回の動作確認には特に影響しません。

この画面で「ポリシーの追加」をクリックすると「新規ポリシー」が作成されるので、名前を「test-policy-01」に変更します。

f:id:gowatana:20201127084823p:plain

追加された「test-policy-01」ポリシーを選択して、「ルールを追加」をクリックします。

f:id:gowatana:20201127084836p:plain

「新規ルール」が作成されるので、「test-rule-01」に変更します。

ルールの「適用先」はデフォルトで「分散ファイアウォール」全体となっており、NSX-T の オーバーレイ / VLAN セグメントに接続された VM に適用されます。また、ルールの「送信元」、「宛先」、「サービス」は、いずれも「任意」になっているので、すべての通信が対象になります。ただし、アクションは「許可」なので、このままでは通信の遮断はされません。

そして「発行」をクリックしてポリシー / ルールを保存しておきます。

f:id:gowatana:20201127084846p:plain

ルールが保存され、このルールの ID は 3048 が採番されました。このあと、このルールの設定を変更して、DFW の動作確認をします。

f:id:gowatana:20201127084857p:plain

DFW ルールの動作確認

それでは NSX 外部のマシンから、VLAN セグメントに接続されている vm01 宛に ping で疎通確認をしつつ、DFW で通信を遮断してみます。

作成した DFW ルール「test-rule-01」のアクションを「許可」→「却下」に変更します。これは「ドロップ」より「却下」の方がデモ的に分かりやすいためです。

f:id:gowatana:20201127084913p:plain

「発行」をクリックすると、ルールが適用されます。この時点で vm01 宛に通信できる外部のマシンから ping を実行しつつ、「発行」をクリックします。

f:id:gowatana:20201127084951p:plain

DFW のルールが作用して、外部の端末から vm01(10.0.6.91)への ping が通らなくなりました。

f:id:gowatana:20201127085003p:plain

DFW ルール「test-rule-01」のアクションを「却下」→「許可」に戻して、「発行」をクリックすると・・・

f:id:gowatana:20201127085014p:plain

外部の端末から、vm01 への ping が通るようになりました。

f:id:gowatana:20201127085024p:plain

このように、オーバーレイ セグメントではなく、VLAN セグメントでも、NSX-T の DFW は動作します。

まずは、DFW が動作することの確認でした。次は、VM の vNIC に「NSX の VLAN セグメント」ではなく「vDS の分散ポートグループ」を割り当てた環境で、分散ファイアウォール ルールが動作しない様子を確認してみます。

つづく!

NSX-T 3.0: DFW を VLAN セグメントで使用してみる。(後編) - vm.gowatana.jp