※あたらしい NSX 4.1 のラボ構築は こちら をどうぞ。
NSX-T のネステッド ESXi 環境を利用したラボを構築してみます。今回は NSX-T のラボから外部ネットワーク(インターネット)に出るために SNAT ルールを追加します。
前回はこちら。
今回の内容です。
- 自宅 NSX-T ラボのネットワーク概要
- NSX-T オーバーレイ ネットワークと、他のラボ ネットワークとの通信経路
- NSX-T オーバーレイ ネットワークと、インターネットの通信経路
- Tier-0 ゲートウェイへの SNAT ルール追加
自宅 NSX-T ラボのネットワーク概要
この自宅ラボでは、NSX-T によるオーバーレイ ネットワークから直接インターネットに出られるようにしていないため、Tier-0 ゲートウェイでの SNAT を利用します。
まず、これまでの一連の投稿で作成してきたラボの、ネットワークの様子です。
NSX-T ラボの外側には、インターネットへアクセスできる「外部ルータ」があります。ちなみにこのルータは、NSX-T 以外のラボ環境でも利用しています。
そして、Tier-0 ゲートウェイのアップリンク インターフェイスに設定されている HA VIP(192.168.200.4)が、NSX-T によらないネットワーク(管理ネットワークの 192.168.10.0/24 など)との境界になっています。
Tier-0 ゲートゲートウェイのアップリンク ネットワーク(VLAN 200、192.168.200.0/24)からインターネットへは、「外部ルータ」での SNAT で出ていきます。
NSX-T オーバーレイ ネットワークと、他のラボ ネットワークとの通信経路
オーバーレイ ネットワークに接続した VM(vm01 など)と、NSX-T によらないネットワーク(図での 192.168.10.0/24 に接続された「クライアント マシン」など)とであれば、特に SNAT がなくても通信できます。
vm01 からクライアント マシンにむかって、順にルーティングの概要を説明すると・・・
- vm01 のデフォルト ゲートウェイは、Tier-1 ゲートウェイのインターフェースが持つ IP アドレス(ここでは 172.16.1.1)に設定します。seg-overlay-01 オーバーレイ セグメントの Tier-1 ゲートウェイ
- Tier-1 ゲートウェイ ~ Tier-0 ゲートウェイの間は、NSX-T のルート アドバタイズ機能によって、ルーティングしています。具体的には、Tier-1 ゲートウェイでの「接続されているすべてのセグメントおよびサービス ポート」の有効化です。
- Tier-0 ゲートウェイ ~ 外部ルータ: スタティックで、デフォルト ルートを外部ルータ宛に設定します。
- 外部ルータ: オーバーレイ ネットワークへのスタティック ルートを設定しています。具体的な設定は、今回の一連の投稿では省略しています。
- クライアント マシン: 外部ルータのネットワーク インターフェイス(192.168.10.1)宛に、デフォルト ゲートウェイを設定しています。
これで、vm01 とクライアント マシンは相互に通信可能になります。
NSX-T オーバーレイ ネットワークと、インターネットの通信経路
このラボでは、192.168.200.0/24 ネットワークからインターネットへは、「外部ルータ」の SNAT で出られます。そして、NSX-T オーバーレイ ネットワークから、インターネットに出るには、Tier-0 ゲートウェイでの SNAT で 192.168.200.0/24 に出るように構成します。
今回は、NSX-T のオーバーレイ セグメントに接続された VM が NSX-T より外部のネットワークにアクセスした際の「戻り」のために、Tier-0 ゲートウェイで SNAT ルールを設定します。
オーバーレイ ネットワークの「172.16.0.0/16」からの通信を、SNAT ルールによって、通信元アドレス(Source アドレス)を、プライベートなアドレスから Tier-0 ゲートウェイ のもつ HA VIP に変換します。つまり、Tier-0 ゲートウェイ「t0-gw-01」の SNAT にて、オーバーレイ セグメントからの通信元アドレス「172.16.0.0/16」が、「192.168.200.4」(t0-gw-01 のアップリンク インターフェースのアドレス)に変換されるようにします。
Tier-0 ゲートウェイへの SNAT ルール追加
それでは、Tier-0 ゲートウェイ「t0-gw-01」に SNAT ルールを追加します。
NSX Manager で「ネットワーク」→「ネットワーク サービス」→「NAT」を開きます。「ゲートウェイ」で「t0-gw-01」を選択してから、「NAT ルールの追加」をクリックします。
次のようにパラメータを入力して、「保存」をクリックします。
- 名前: t0-nat-01
- アクション: SNAT
- 送信元: 172.16.0.0/16
- 変換: 192.168.200.4
SNAT ルールが追加されました。
これで、オーバーレイ セグメントに接続されいる VM(vm01)などから、外部ネットワークにアクセスできるようになるはずです。
以上、自宅 NSX-T 3.1 ラボの構築でした。