自宅ラボ NSX 4.1 の構築。Step-11: SNAT ルールの追加

ネステッド ESXi 環境を利用した NSX ラボを構築します。今回は NSX ラボ内から NSX

外部のネットワークに出るために SNAT ルールを追加します。

ラボの概要： Step-01: はじめに
前回の投稿： Step-10: DHCP サーバの構成

今回の内容です。

1. 自宅 NSX ラボのネットワーク概要
2. NSX オーバーレイネットワークと、自宅ラボ内ネットワークとの通信経路
3. NSX オーバーレイネットワークと、インターネットの通信経路
4. Tier-0 ゲートウェイへの SNAT ルール追加

1. 自宅 NSX ラボのネットワーク概要

この自宅ラボでは、NSX によるオーバーレイネットワークから直接インターネットに出られるようにしていないため、Tier-0 ゲートウェイの SNAT を利用します。

まず、この NSX ラボのネットワークの様子です。

NSX ラボの外側には、インターネットへアクセスできる「外部ルータ」があります。ちなみにこのルータは、一連の投稿で構築した NSX ラボ以外の環境でも利用しています。

NSX ラボの外部ネットワーク（管理ネットワークの 192.168.10.0/24 など）との境界は、Tier-0 ゲートウェイのアップリンクインターフェイスに設定されている HA VIP です。

Tier-0 ゲートウェイの HA VIP： 192.168.120.10

このアドレスを、SNAT の変換先 IP としても利用します。

2. NSX オーバーレイネットワークと、自宅ラボ内ネットワークとの通信経路

このラボでは、オーバーレイネットワークに接続した仮想マシンと、NSX 外部の自宅ラボネットワークであれば、特に SNAT がなくても通信できます。たとえば図中の vm01 から、管理ネットワークの 192.168.10.0/24 に接続された「クライアントマシン」には SNAT なしで通信できます。

vm01 とクライアントマシンで通信通信するためのルーティング設定について、概要を説明します。

vm01 のデフォルトゲートウェイには、Tier-1 ゲートウェイのインターフェースが持つ IP アドレスを設定します。seg-overlay-01 セグメントのゲートウェイである 172.16.1.1 が設定されています。
Tier-1 ゲートウェイ～ Tier-0 ゲートウェイの間は、NSX のルートアドバタイズによってルーティングされます。具体的には、Tier-1 ゲートウェイで「接続されているすべてのセグメントおよびサービスポート」を有効化してあります。
Tier-0 ゲートウェイには、スタティックルートを追加し、デフォルトルートを外部ルータ宛に設定します。0.0.0.0/0 → 192.168.120.1
外部ルータでは、オーバーレイネットワークへのスタティックルートを設定しています。
- スタティックルートは、172.16.0.0/16 → 192.168.120.10
- 具体的な設定は、今回の一連の投稿では省略しています。
クライアントマシンでは、外部ルータのネットワークインターフェイス（192.168.10.1）をデフォルトゲートウェイに設定しています。

図示すると、vm01 とクライアントマシンは下記のように通信できるようになります。

3. NSX オーバーレイネットワークと、インターネットの通信経路

このラボでは、192.168.120.0/24 ネットワークからインターネットへ通信する場合には「外部ルータ」の SNAT を利用しています。そして、NSX オーバーレイネットワーク（172.16.x.0/24）からインターネットに出る場合には、Tier-0 ゲートウェイでも SNAT を利用します。

今回は、NSX のオーバーレイセグメントに接続された仮想マシンが外部のネットワークに通信した際の「戻り」のために、Tier-0 ゲートウェイで SNAT ルールを設定します。

オーバーレイネットワーク（172.16.0.0/16）からの通信については、SNAT ルールによって、通信元アドレス（Source アドレス）を Tier-0 ゲートウェイ「t0-gw-21」のアップリンクとなる HA VIP のアドレスに変換します。