Tier-0 ゲートウェイには、Tier-1 ゲートウェイとのダウンリンク接続および物理ネットワークとの外部接続があります。

NSX フェデレーショングローバル マネージャ から Tier-0 ゲートウェイを追加する場合は、グローバル マネージャ での Tier-0 ゲートウェイの追加を参照してください。

アクティブ/アクティブまたはアクティブ/スタンバイになるように、Tier-0 ゲートウェイの HA(高可用性)モードを構成できます。次のサービスは、アクティブ/スタンバイ モードでのみサポートされます。
  • NAT
  • ロード バランシング
  • ステートフル ファイアウォール
  • VPN
Tier-0 および Tier-1 ゲートウェイでは、単一層およびマルチティア トポロジの両方で、すべてのインターフェイス(外部インターフェイス、サービス インターフェイス、ダウンリンク)に対して次のようなアドレス構成がサポートされます。
  • IPv4 のみ
  • IPv6 のみ
  • デュアル スタック - IPv4 と IPv6 の両方
IPv6 またはデュアル スタック アドレス設定を使用するには、 [ネットワーク] > [ネットワーク設定] > [グローバル ネットワーク構成] で、 [IPv4 と IPv6] を L3 転送モードとして有効にします。

EVPN(イーサネット VPN)をサポートするように Tier-0 ゲートウェイを構成できます。EVPN の構成方法については、「イーサネット VPN (EVPN)」を参照してください。

Tier-0 ゲートウェイのルート再配分を構成する場合、2 つの送信元グループ(Tier-0 サブネットとアドバタイズされた Tier-1 サブネット)から選択できます。Tier-0 サブネット グループの送信元は次のとおりです。
送信元のタイプ 説明
接続されたインターフェイスとセグメント これには、外部インターフェイス サブネット、サービス インターフェイス サブネット、Tier-0 に接続されたセグメント サブネットが含まれます。
スタティック ルート Tier-0 ゲートウェイに構成したスタティック ルート。
NAT IP Tier-0 ゲートウェイによって所有され、Tier-0 ゲートウェイに構成された NAT ルールから検出された NAT IP アドレス。
IPsec のローカル IP VPN セッションの確立に使用されるローカル IPSEC エンドポイント IP アドレス。
DNS フォワーダの IP クライアントからの DNS クエリのリスナー IP。DNS クエリをアップストリーム DNS サーバに転送するために使用される送信元 IP としても使用されます。
EVPN TEP IP これは、Tier-0 ゲートウェイで EVPN ローカル エンドポイント サブネットを再配布する際に使用されます。
アドバタイズされた Tier-1 サブネット グループの送信元は次のとおりです。
送信元のタイプ 説明
接続されたインターフェイスとセグメント これには、Tier-1 ゲートウェイに接続されたセグメント サブネット、Tier-1 ゲートウェイに構成されたサービス インターフェイス サブネットが含まれます。
スタティック ルート Tier-1 ゲートウェイに構成したスタティック ルート。
NAT IP Tier-1 ゲートウェイによって所有され、Tier-1 ゲートウェイに構成された NAT ルールから検出された NAT IP アドレス。
LB VIP ロード バランシング仮想サーバの IP アドレス。
LB SNAT IP ロード バランサによって送信元 NAT に使用される IP アドレスまたは IP アドレスの範囲。
DNS フォワーダの IP クライアントからの DNS クエリのリスナー IP。DNS クエリをアップストリーム DNS サーバに転送するために使用される送信元 IP としても使用されます。
IPsec ローカル エンドポイント IPsec ローカル エンドポイントの IP アドレス。

NAT ルールまたはロード バランサの VIP が Tier-0 ゲートウェイ外部インターフェイスのサブネットの IP アドレスを使用する場合、Tier-0 ゲートウェイでプロキシ ARP が自動的に有効になります。プロキシ ARP を有効にすると、オーバーレイ セグメント上のホストと VLAN セグメント上のホストは、物理ネットワーク ファブリックに変更を加えることなくネットワーク トラフィックを交換できます。

プロキシ ARP トポロジのパケット フローの詳細な例については、VMware コミュニティ ポータルの『NSX Reference Design Guide』を参照してください。

NSX 3.2 より前のバージョンでは、プロキシ ARP はアクティブ/スタンバイ構成の Tier-0 ゲートウェイでのみサポートされ、外部およびサービス インターフェイスの IP アドレスに対する ARP クエリに応答します。さらに、プロキシ ARP は、Permit アクションで構成された IP プレフィックス リストにあるサービスの IP アドレスに対する ARP クエリにも応答します。

NSX 3.2 以降では、アクティブ/アクティブ構成の Tier-0 ゲートウェイでもプロキシ ARP がサポートされます。ただし、アクティブ/アクティブ Tier-0 構成のすべての Edge ノードが、プロキシ ARP を必要とするネットワークに直接アクセスできる必要があります。つまり、プロキシ ARP を機能させるには、Tier-0 ゲートウェイに参加しているすべての Edge ノードで外部インターフェイスとサービス インターフェイスを構成する必要があります。

前提条件

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [ネットワーク] > [Tier-0 ゲートウェイ] の順に選択します。
  3. [Tier-0 ゲートウェイの追加] をクリックします。
  4. ゲートウェイの名前を入力します。
  5. HA(高可用性)モードを選択します。
    デフォルトのモードは、アクティブ/アクティブです。アクティブ/アクティブ モードでは、トラフィックはすべてのメンバー間で負荷分散されています。アクティブ/スタンバイ モードでは、すべてのトラフィックは選ばれたアクティブ メンバーによって処理されます。アクティブ メンバーが失敗すると、新しいメンバーが選ばれてアクティブになります。
  6. HA モードがアクティブ/スタンバイの場合は、フェイルオーバー モードを選択します。
    オプション 説明
    プリエンプティブ 優先ノードで障害が発生し、リカバリした場合、そのピアが先取りされ、アクティブ ノードになります。ピアの状態はスタンバイに変わります。
    非プリエンプティブ 優先ノードで障害が発生し、リカバリした場合、ピアがアクティブ ノードかどうか確認します。アクティブな場合、優先ノードがピアを先取りせず、スタンバイ ノードになります。
  7. (オプション) NSX Edge クラスタを選択します。
  8. (オプション) DHCP を追加するには、[DHCP の構成] をクリックします。
  9. (オプション) [追加設定] をクリックします。
    1. [内部中継サブネット] フィールドに、サブネットを入力します。
      これは、このゲートウェイ内のコンポーネント間の通信に使用されるサブネットです。デフォルトは 169.254.0.0/24 です。
    2. [T0-T1 中継サブネット] フィールドに、1 つ以上のサブネットを入力します。
      これらのサブネットは、このゲートウェイとそれにリンクしているすべての Tier-1 ゲートウェイ間の通信に使用されます。このゲートウェイを作成して、Tier-1 ゲートウェイをリンクすると、Tier-0 ゲートウェイ側と Tier-1 ゲートウェイ側のリンクには実際の IP アドレスが割り当てられます。[Tier-0 ゲートウェイ] 画面と [Tier-1 ゲートウェイ] 画面で、 [追加設定] > [ルーター リンク] の順に移動すると、このアドレスを確認できます。デフォルトは 100.64.0.0/16 です。

      Tier-0 ゲートウェイが作成されたら、ゲートウェイを編集して、[T0-T1 中継サブネット] を変更できます。これにより、トラフィックが一時的に中断することに注意してください。

    3. [転送タイマー] フィールドに時間を入力します。
      転送タイマーは、最初の BGP セッションが確立してからルーターが通知を送信するまでの時間を秒単位で定義します。このタイマー(以前の転送遅延)により、動的ルーティング (BGP) を使用する NSX Edge でアクティブ/アクティブ構成またはアクティブ/スタンバイ構成の論理ルーターがフェイルオーバーした場合に、ダウンタイムを最小限に抑えることができます。ここには、最初の BGP/BFD セッション後に外部ルーター (TOR) がすべてのルートを通知するまでの秒数を設定する必要があります。タイマー値は、ルーターが学習するノースバウンドの動的ルートの数に比例します。Edge ノードが 1 台の場合には、このタイマーは 0 に設定する必要があります。
  10. ルート識別子の管理アドレスを構成するには、[VRF ゲートウェイのルート識別子] をクリックします。
    これは、インライン モードの EVPN にのみ必要です。
  11. (オプション) 1 つ以上のタグを追加します。
  12. [保存] をクリックします。
  13. IPv6 の場合、[追加設定][ND プロファイル][DAD プロファイル] を選択または作成できます。
    これらのプロファイルは、IPv6 アドレスのステートレス アドレス自動構成 (SLAAC) と重複アドレス検出 (DAD) の構成で使用されます。
  14. (オプション) [EVPN の設定] をクリックして、EVPN を構成します。
    1. EVPN モードを選択します。
      次のオプションがあります。
      • [インライン]:このモードでは、EVPN はデータ プレーンと制御プレーンの両方のトラフィックを処理します。
      • [ルート サーバ]:このゲートウェイの HA モードがアクティブ/アクティブの場合にのみ使用できます。このモードの場合、EVPN は制御プレーン トラフィックのみを処理します。
      • [EVPN なし]
    2. EVPN モードが [インライン] の場合は、EVPN/VXLAN VNI プールを選択するか、メニュー アイコン(3 つのドット)をクリックして新しいプールを作成します。
    3. EVPN モードが [ルート サーバ] の場合は、[EVPN] テナントを選択するか、メニュー アイコン(3 つのドット)をクリックして新しい EVPN テナントを作成します。
    4. [EVPN トンネル エンドポイント] フィールドで [設定] をクリックして、EVPN ローカル トンネル エンドポイントを追加します。
      トンネル エンドポイントの場合は、Edge ノードを選択して IP アドレスを指定します。
      また、MTU を指定することもできます。
      注: 外部インターフェイスが、EVPN トンネル エンドポイントに選択した NSX Edge ノードで構成されていることを確認します。
  15. ルート再配分を構成するには、[ルート再配分] および [設定] をクリックします。
    送信元を 1 つ以上選択します。
    • Tier-0 サブネット:[スタティック ルート][NAT IP][IPsec ローカル IP][DNS フォワーダの IP][EVPN TEP IP][接続されたインターフェイスとセグメント]

      [接続されたインターフェイスとセグメント] では、[サービス インターフェイスのサブネット][外部インターフェイスのサブネット][ループバック インターフェイスのサブネット][接続されたセグメント] の 1 つ以上の項目を選択できます。

    • アドバタイズされた Tier-1 サブネット:[DNS フォワーダの IP][スタティック ルート][LB VIP][NAT IP][LB SNAT IP][IPsec ローカル エンドポイント][接続されたインターフェイスとセグメント]

      [接続されたインターフェイスとセグメント] では、[サービス インターフェイスのサブネット] または [接続されたセグメント] を選択できます。

  16. インターフェイスを構成するには、[インターフェイス] および [設定] をクリックします。
    1. [インターフェイスの追加] をクリックします。
    2. 名前を入力します。
    3. タイプを選択します。
      HA モードがアクティブ/スタンバイの場合、選択できるのは [外部][サービス][ループバック] です。HA モードがアクティブ/アクティブの場合は、 [外部] または [ループバック] を選択できます。
    4. IP アドレスを CIDR 形式で入力します。
    5. セグメントを選択します。
    6. インターフェイス タイプが [サービス] でない場合は、NSX Edge ノードを選択します。
    7. (オプション) インターフェイス タイプが [ループバック] でない場合は、MTU 値を入力します。
    8. (オプション) インターフェイス タイプが [外部 ] の場合は、[PIM](プロトコルに依存しないマルチキャスト)を [有効] に設定し、マルチキャストを有効にすることができます。
      次のように構成することもできます。
      • [IGMP 参加ローカル]:1 つ以上の IP アドレスを入力します。IGMP 参加は、ランデブー ポイント (RP) への (*,g) 参加を生成し、参加を実行したノードにトラフィックを転送するデバッグ ツールです。詳細については、IGMP 参加についてを参照してください。
      • [Hello 間隔(秒)]:デフォルトは 30 です。範囲は 1 ~ 180 です。このパラメータは、Hello メッセージの間隔を指定します。[Hello 間隔] を変更した場合、現在スケジュールされている PIM タイマーが期限切れになった後に変更が有効になります。
      • [ホールド タイム(秒)]:範囲は 1 ~ 630 です。[Hello 間隔] より大きい値にする必要があります。デフォルトは、[Hello 間隔] の 3.5 倍です。この期間内にネイバーがこのゲートウェイから Hello メッセージを受信しなかった場合、ネイバーはこのゲートウェイを到達不能と見なします。
    9. (オプション) タグを追加して ND プロファイルを選択します。
    10. (オプション) インターフェイス タイプが [外部] の場合、[URPF モード] には [厳密] または [なし] を選択できます。
      URPF (Unicast Reverse Path Forwarding) はセキュリティ機能です。
    11. (オプション) インターフェイスの作成後、インターフェイスのメニュー アイコン(3 つのドット)をクリックし、[ARP プロキシのダウンロード] を選択すると、ARP プロキシの集約をダウンロードできます。

      ゲートウェイを展開してから [インターフェイス] を展開して、特定のインターフェイスの ARP プロキシをダウンロードすることもできます。インターフェイスをクリックし、メニュー アイコン(3 つのドット)をクリックし、[ARP プロキシのダウンロード] を選択します。

      注: ループバック インターフェイスの ARP プロキシはダウンロードできません。
  17. (オプション) HA モードがアクティブ/スタンバイの場合は、[HA VIP 構成] の横にある [設定] をクリックして、HA VIP を構成します。
    HA VIP が構成されている場合、1 つの外部インターフェイスが切断されていても、Tier-0 ゲートウェイは動作します。物理ルーターは HA VIP とのみ通信します。HA VIP は、BGP ではなくスタティック ルートで機能するように設計されています。
    1. [HA VIP 構成の追加] をクリックします。
    2. IP アドレスとサブネット マスクを入力します。
      HA VIP サブネットは、割り当て先のインターフェイスのサブネットと同じにする必要があります。
    3. 2 つの異なる Edge ノードから 2 つのインターフェイスを選択します。
  18. [ルーティング] をクリックして、IP プレフィックス リスト、コミュニティ リスト、スタティック ルート、およびルート マップを追加します。
  19. マルチキャスト ルーティングを構成するには [マルチキャスト] をクリックします。
  20. [BGP] をクリックして BGP を構成します。
  21. [OSPF] をクリックして、OSPF を構成します。
    この機能は、 NSX 3.1.1 以降で使用できます。
  22. (オプション) ルーティング テーブルまたはフォワーディング テーブルをダウンロードするには、次の手順を実行します。
    1. メニュー アイコン(3 つのドット)をクリックして、ダウンロード オプションを選択します。
    2. 必要に応じて、[トランスポート ノード][ネットワーク][送信元] の値を入力します。
    3. [ダウンロード] をクリックして、CSV ファイルを保存します。
  23. (オプション) リンクされた Tier-1 ゲートウェイから ARP テーブルをダウンロードするには、次の手順を実行します。
    1. [リンクされた Tier-1 ゲートウェイ] 列で、番号をクリックします。
    2. メニュー アイコン(3 つのドット)をクリックし、[ARP テーブルのダウンロード] を選択します。
    3. Edge ノードを選択します。
    4. [ダウンロード] をクリックして、CSV ファイルを保存します。

結果

新しいゲートウェイがリストに追加されます。どのゲートウェイの場合でも、メニュー アイコン(3 つのドット)をクリックして構成を変更し、 [編集] を選択します。次の構成の場合は、 [編集] をクリックする必要はありません。ゲートウェイの展開アイコン(右矢印)をクリックしてエンティティを検索し、その横にある数字をクリックします。数値は 0 以外にする必要があります。0 の場合、ゲートウェイの編集が必要です。
  • [インターフェイス] セクション:[外部インターフェイスおよびサービス インターフェイス]
  • [ルーティング] セクション:[IP プレフィックス リスト][スタティック ルート][スタティック ルートの BFD ピア][コミュニティ リスト][ルート マップ]
  • [BGP] セクション:[BGP ネイバー]

NSX フェデレーションが構成されている場合は、グローバル マネージャ (GM) によって作成されたゲートウェイでも、エンティティをクリックしてゲートウェイを再構成できます。GM で作成されたゲートウェイの一部のエンティティはローカル マネージャで変更できますが、それ以外のエンティティは変更できません。たとえば、GM で作成されたゲートウェイの [IP プレフィックス リスト] はローカル マネージャで変更できません。また、ローカル マネージャでは、GM で作成されたゲートウェイの既存の [外部インターフェイスおよびサービス インターフェイス] を編集できますが、インターフェイスを追加することはできません。