vm.gowatana.jp

NEOにほんごVMware(仮)

自宅ラボ NSX-T 3.1 の構築。Step-11: SNAT ルールの追加

NSX-T のネステッド ESXi 環境を利用したラボを構築してみます。今回は NSX-T のラボから外部ネットワーク(インターネット)に出るために SNAT ルールを追加します。

前回はこちら。

自宅ラボ NSX-T 3.1 の構築。Step-10: DHCP サーバの作成 - vm.gowatana.jp

今回の内容です。

自宅 NSX-T ラボのネットワーク概要

この自宅ラボでは、NSX-T によるオーバーレイ ネットワークから直接インターネットに出られるようにしていないため、Tier-0 ゲートウェイでの SNAT を利用します。

まず、これまでの一連の投稿で作成してきたラボの、ネットワークの様子です。

f:id:gowatana:20210218233037p:plain

NSX-T ラボの外側には、インターネットへアクセスできる「外部ルータ」があります。ちなみにこのルータは、NSX-T 以外のラボ環境でも利用しています。

そして、Tier-0 ゲートウェイのアップリンク インターフェイスに設定されている HA VIP(192.168.200.4)が、NSX-T によらないネットワーク(管理ネットワークの 192.168.10.0/24 など)との境界になっています。

Tier-0 ゲートゲートウェイのアップリンク ネットワーク(VLAN 200、192.168.200.0/24)からインターネットへは、「外部ルータ」での SNAT で出ていきます。

f:id:gowatana:20210218233042p:plain

NSX-T オーバーレイ ネットワークと、他のラボ ネットワークとの通信経路

オーバーレイ ネットワークに接続した VM(vm01 など)と、NSX-T によらないネットワーク(図での 192.168.10.0/24 に接続された「クライアント マシン」など)とであれば、特に SNAT がなくても通信できます。

vm01 からクライアント マシンにむかって、順にルーティングの概要を説明すると・・・

  • vm01 のデフォルト ゲートウェイは、Tier-1 ゲートウェイのインターフェースが持つ IP アドレス(ここでは 172.16.1.1)に設定します。seg-overlay-01 オーバーレイ セグメントの Tier-1 ゲートウェイ
  • Tier-1 ゲートウェイ ~ Tier-0 ゲートウェイの間は、NSX-T のルート アドバタイズ機能によって、ルーティングしています。具体的には、Tier-1 ゲートウェイでの「接続されているすべてのセグメントおよびサービス ポート」の有効化です。
  • Tier-0 ゲートウェイ ~ 外部ルータ: スタティックで、デフォルト ルートを外部ルータ宛に設定します。
  • 外部ルータ: オーバーレイ ネットワークへのスタティック ルートを設定しています。具体的な設定は、今回の一連の投稿では省略しています。
  • クライアント マシン:  外部ルータのネットワーク インターフェイス(192.168.10.1)宛に、デフォルト ゲートウェイを設定しています。

これで、vm01 とクライアント マシンは相互に通信可能になります。

f:id:gowatana:20210219022627p:plain

NSX-T オーバーレイ ネットワークと、インターネットの通信経路

このラボでは、192.168.200.0/24 ネットワークからインターネットへは、「外部ルータ」の SNAT で出られます。そして、NSX-T オーバーレイ ネットワークから、インターネットに出るには、Tier-0 ゲートウェイでの SNAT で 192.168.200.0/24 に出るように構成します。

今回は、NSX-T のオーバーレイ セグメントに接続された VM が NSX-T より外部のネットワークにアクセスした際の「戻り」のために、Tier-0 ゲートウェイで SNAT ルールを設定します。

オーバーレイ ネットワークの「172.16.0.0/16」からの通信を、SNAT ルールによって、通信元アドレス(Source アドレス)を、プライベートなアドレスから Tier-0 ゲートウェイ のもつ HA VIP に変換します。つまり、Tier-0 ゲートウェイ「t0-gw-01」の SNAT にて、オーバーレイ セグメントからの通信元アドレス「172.16.0.0/16」が、「192.168.200.4」(t0-gw-01 のアップリンク インターフェースのアドレス)に変換されるようにします。

f:id:gowatana:20210218233051p:plain

Tier-0 ゲートウェイへの SNAT ルール追加

それでは、Tier-0 ゲートウェイ「t0-gw-01」に SNAT ルールを追加します。

NSX Manager で「ネットワーク」→「ネットワーク サービス」→「NAT」を開きます。「ゲートウェイ」で「t0-gw-01」を選択してから、「NAT ルールの追加」をクリックします。

f:id:gowatana:20210218020059p:plain

次のようにパラメータを入力して、「保存」をクリックします。

  • 名前: t0-nat-01
  • アクション: SNAT
  • 送信元: 172.16.0.0/16
  • 変換: 192.168.200.4

f:id:gowatana:20210218020103p:plain

SNAT ルールが追加されました。

f:id:gowatana:20210218020107p:plain

これで、オーバーレイ セグメントに接続されいる VM(vm01)などから、外部ネットワークにアクセスできるようになるはずです。

 

以上、自宅 NSX-T 3.1 ラボの構築でした。