ここからは仮想ネットワークのゲートウェイとなるTier-0を作成していきます。NSX-Tは、Tier-0とTier-1の2つに分かれており提供する機能が異なりますが、North-South通信をTier-0、East-West通信をTier-1と捉えるとわかりやすいかと思います。もちろんTier-0だけの構成ですべてを制御することも可能です。この辺のデザインは柔軟に構成できるので、VMware Validated Design Documentationなどを参考にしてみるのも良いかもしれません。
説明範囲
セグメントの作成
アンダーレイ向けセグメントの作成
1.Tier-0をアンダーレイに接続するために、アンダーレイ側の192.168.3.0/24のセグメントを作成します。「ネットワーク」の「セグメント」から「セグメントの追加」を選択します。
2.セグメント名を「underlay-seg3」、トランスポートゾーンを「tz-vlan01」、VLANを「0」とし、保存を選択します。
オーバーレイ向けセグメントの作成
1.「ネットワーク」の「セグメント」から「セグメントの追加」を選択します。
2.192.168.20.0/24のセグメント用として、セグメント名を「seg20」、接続されたゲートウェイを「Tier-0|Tier-0」、トランスポートゾーンを「tz-overlay01」、サブネットを「192.168.20.1/24」として保存を選択します。
3.同様にseg30はTier-0、seg40はTier-1、seg50はTier-1に接続する形で作成します。
Tier-0の作成
Tier-0の作成
1.NSX Managerの「ネットワーク」の「Tier-0ゲートウェイ」から「ゲートウェイの追加」をクリックし、Tier-0を選択します。
2.名前は「Tier-0」、HAモードを「アクティブ/スタンバイ」、フェイルオーバーを「プリエンプティブ」、Edgeクラスタを「EdgeCluster01」、優先Edgeを「edge56」として保存を選択します。
インターフェイスの設定
1.アンダーレイ側のインタフェースとして、edge56、edge57のインターフェイスを追加します。インターフェイスの「設定」を押下します。
2.「インターフェイスの追加」から、edge56のインターフェイス名を「underlay56」、タイプを「外部」、IPアドレスを「192.168.3.56/24」、接続先セグメントを「underlay-seg3」、Edgeノードを「edge56」とし保存を選択します。
3.同様にedge57のインターフェイス設定も行います。
スタティックルートの設定
1.続いてTier-0からアンダーレイ向けのスタティックスートを設定します。「ルーティング」の「設定」を押下します。
2.「スタティックルートの追加」から、名前を「デフォルトルート」、ネットワークを「0.0.0.0/0」とし、ネクストホップの設定を押下します。
3.「ネクストホップの設定」から、ネクストホップ先のIPアドレスを「192.168.3.1」とします。192.168.3.1のアドレスは、L3SW側で設定されています。
HA VIP構成の設定
1.Tier-0のアンダーレイ側のIPアドレスは、192.168.3.56と192.168.3.57が設定されましたが、L3SWのネクストホップをどちらかに寄せてしますと、障害時に経路切り替えができなくなってしますので、VIPの設定をここで実施します。HA VIP構成の設定を押下します。
2.「HA VIP構成の追加」からVIPとなるIPアドレスを「192.168.3.254/24」、インターフェイスを「underlay56」、「underlay57」を選択し適用を押下します。
3.最後に保存を押下してTier-0の設定を終了します。
ここまで完了して、ネットワークトポロジーを表示すると、以下のような状態になります。まだ、オーバーレイのセグメントは作成していないので、Tier-0には接続されていません。
Tier-1の作成
1.「ネットワーク」の「Tier-1ゲートウェイ」から「TIER-1ゲートウェイの追加」を選択します。
2.Tier-1ゲートウェイの名前を「Tier-1」、リンクされたTier-0ゲートウェイを「Tier-0」、Edgeクラスタを「EdgeCluster01」、フェイルオーバーを「非プリエンプティブ」とします。ここで、ルートアドバタイズにある「接続されているすべてのセグメントおよびサービスポート」を有効化してください。この設定を有効にしないとTier-1配下のセグメントやサービスポートの情報がTier-0側へアドバタイズされず通信ができなくなってしまいます。
疎通確認
1.以上で設定は完了となるので、L3SWからオーバーレイネットワークへ疎通確認を行います。事前にL3SWにはオーバーレイネットワーク宛のスタティックルートをHA VIPの192.168.3.254宛に設定しておきます。
C2960-L3#
C2960-L3#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
+ - replicated route, % - next hop override
Gateway of last resort is 192.168.10.254 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 192.168.10.254
10.0.0.0/24 is subnetted, 1 subnets
S 10.212.134.0 [1/0] via 192.168.10.254
192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.1.0/24 is directly connected, Vlan1
L 192.168.1.1/32 is directly connected, Vlan1
192.168.2.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.2.0/24 is directly connected, Vlan2
L 192.168.2.1/32 is directly connected, Vlan2
192.168.3.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.3.0/24 is directly connected, Vlan3
L 192.168.3.1/32 is directly connected, Vlan3
S 192.168.4.0/24 [1/0] via 192.168.3.254
192.168.5.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.5.0/24 is directly connected, Vlan5
L 192.168.5.1/32 is directly connected, Vlan5
192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.10.0/24 is directly connected, Vlan10
L 192.168.10.1/32 is directly connected, Vlan10
S 192.168.20.0/24 [1/0] via 192.168.3.254
S 192.168.30.0/24 [1/0] via 192.168.3.254
S 192.168.40.0/24 [1/0] via 192.168.3.254
S 192.168.50.0/24 [1/0] via 192.168.3.254
192.168.101.0/24 is variably subnetted, 2 subnets, 2 masks
C 192.168.101.0/24 is directly connected, Vlan101
L 192.168.101.254/32 is directly connected, Vlan101
C2960-L3#
2.L3SWからオバーレイネットワークへ疎通できることを確認できました。
C2960-L3# C2960-L3#ping 192.168.20.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.20.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms C2960-L3# C2960-L3#ping 192.168.30.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/6 ms C2960-L3# C2960-L3#ping 192.168.40.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.40.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/6 ms C2960-L3# C2960-L3#ping 192.168.50.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.50.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/6 ms C2960-L3#
ネットワーク的な疎通が取れたので、あとは仮想マシンを作成して、オーバーレイのセグメントをネットワークアダプターに割り当てることで、VMが自由に通信することができます。
なお、分散ファイアウォールは、検証のため全ての通信を許可しています。
以上でTier-0、Tier-1、セグメントの作成およびNSX-Tのホームラボ環境は完了となります。
次回以降は、NSX-VからNSX-Tのリフトアンドシフトによる移行するためL2ブリッジについて紹介します。
