NSX-T 3.0： DFW を VLAN セグメントで使用してみる。（前編）

NSX-T の分散ファイアウォール（DFW）は、NSX-T のセグメント（オーバーレイ or VLAN）で機能します。今回は、VLAN セグメントでも DFW が利用できることを確認してみます。

今回の内容です。

ラボ環境について
DFW ポリシー / ルールの作成
DFW ルールの動作確認

ラボ環境について

今回のラボ環境は、下記のように用意してあります。特にオーバーレイネットワークやルーティング機能などは準備せず、ただ「VLAN セグメント」が利用できるようになっています。

NSX-T 3.0 のシンプルな DFW ラボを構築する。 - vm.gowatana.jp

まず、NSX Manager の画面から確認しておきます。

NSX-T では、VLAN セグメント「seg-vlan-0006」を作成してあります。セグメントはオーバーレイではなく、VLAN のトランスポートゾーンに作成し、VLAN ID 6 を設定しています。つまりこれは NSX-T で作成されたセグメントですが、Geneve のオーバーレイではなく VLAN によるものです。

f:id:gowatana:20201127084728p:plain

vCenter（の vSphere Client）で vDS「vds-21」を確認すると、「seg-vlan-0006」が表示されており、NSX の「N」マークがついています。

さらに、dvpg-vlan-0006 という NSX-T に関係しない、VLAN ID 6 の分散ポートグループも別途作成してあります。この分散ポートグループは次の投稿で利用します。

f:id:gowatana:20201127084745p:plain

VM「vm01」の vNIC に、ポートグループとして NSX-T による VLAN セグメントを割り当てました。なお、この VM の IP アドレスは 10.0.6.91 です。あとで、このアドレス宛に疎通確認します。

f:id:gowatana:20201127084756p:plain

ESXi ホスト「192.168.10.21」で仮想スイッチの構成を確認すると、1つの vDS だけが構成されてます。この vDS は NSX と統合されており、「NSX 仮想スイッチ」となっていることがわかります。

ちなみに vSphere Client での仮想スイッチ画面では、NSX セグメントのうち実際に VM で使用されているものだけが表示されます。

f:id:gowatana:20201127084810p:plain

DFW ポリシー / ルールの作成

NSX Manager で、DFW のポリシーとルールを作成します。

今回は、デフォルトで作成されているポリシーはそのままで、あえてポリシーを追加作成します。そして、ルールの適用有無が分かりやすいように、すべての通信を許可 / 遮断するためのルールを、1つだけ作成します。

「セキュリティ」→「分散ファイアウォール」→「カテゴリ固有のルール」→「アプリケーション」を開きます。

デフォルト作成されるポリシー「Default Layer3 Section 」には、すべての通信を「許可」するルールが設定されているので、今回の動作確認には特に影響しません。

この画面で「ポリシーの追加」をクリックすると「新規ポリシー」が作成されるので、名前を「test-policy-01」に変更します。

f:id:gowatana:20201127084823p:plain

追加された「test-policy-01」ポリシーを選択して、「ルールを追加」をクリックします。

f:id:gowatana:20201127084836p:plain

「新規ルール」が作成されるので、「test-rule-01」に変更します。そして「発行」をクリックしてポリシー / ルールを保存しておきます。

なお、ルールの「適用先」はデフォルトで「分散ファイアウォール」全体となっており、NSX-T のオーバーレイ / VLAN セグメントに接続された VM に適用されます。また、ルールの「送信元」、「宛先」、「サービス」は、いずれも「任意」になっているので、すべての通信が対象になります。ただし、アクションは「許可」なので、このままでは通信の遮断はされません。

f:id:gowatana:20201127084846p:plain