Tier-0 ゲートウェイには、Tier-1 ゲートウェイとのダウンリンク接続および物理ネットワークとの外部接続があります。

NSX フェデレーショングローバル マネージャ から Tier-0 ゲートウェイを追加する場合は、「グローバル マネージャでの Tier-0 ゲートウェイの追加」を参照してください。

アクティブ/アクティブまたはアクティブ/スタンバイになるように、Tier-0 ゲートウェイの HA(高可用性)モードを構成できます。次のサービスは、アクティブ/スタンバイ モードでのみサポートされます。
  • NAT
  • ロード バランシング
  • ステートフル ファイアウォール
  • VPN
Tier-0 および Tier-1 ゲートウェイでは、単一層およびマルチティア トポロジの両方で、すべてのインターフェイス(外部インターフェイス、サービス インターフェイス、ダウンリンク)に対して次のようなアドレス構成がサポートされます。
  • IPv4 のみ
  • IPv6 のみ
  • デュアル スタック - IPv4 と IPv6 の両方
IPv6 またはデュアル スタック アドレス設定を使用するには、 [ネットワーク] > [ネットワーク設定] > [グローバル ネットワーク構成] で、 [IPv4 と IPv6] を L3 転送モードとして有効にします。

EVPN(イーサネット VPN)をサポートするように Tier-0 ゲートウェイを構成できます。EVPN の構成に関する詳細については、「イーサネット VPN (EVPN)」を参照してください。

Tier-0 ゲートウェイのルート再配分を構成する場合、2 つの送信元グループ(Tier-0 サブネットとアドバタイズされた Tier-1 サブネット)から選択できます。Tier-0 サブネット グループの送信元は次のとおりです。
送信元のタイプ 説明
接続されたインターフェイスとセグメント Tier-0 セグメント、Tier-0 DNS フォワーダ IP、Tier-0 IPsec ローカル IP、Tier-0 NAT の各タイプに関連するインターフェイスとルートで構成されたすべてのサブネットを再配分します。Tier-0 に接続されたセグメントで構成されたサブネットを再配分します。
スタティック ルート Tier-0 ゲートウェイで構成したスタティック ルートを再配分します。
NAT IP Tier-0 ゲートウェイによって所有され、Tier-0 ゲートウェイで構成された NAT ルールから検出された NAT IP を再配分します。
IPsec ローカル IP VPN セッションの確立に使用されるローカル IPsec エンドポイント IP アドレスを再配分します。IPsec サブネットを再配分します。
DNS フォワーダの IP クライアントからの DNS クエリのリスナー IP を再配分します。これは、DNS クエリをアップストリーム DNS サーバに転送するために使用される送信元 IP としても使用されます。DNS フォワーダ サブネットを再配分します。
EVPN TEP IP Tier-0 に EVPN ローカル エンドポイント サブネットを再配分します。
VRF 間スタティック Tier-0 または VRF インスタンスによってアドバタイズされた IP アドレスを再配分します。
ルーター リンク Tier-0 ゲートウェイのルーター リンク ポート サブネットを再配分します。
アドバタイズされた Tier-1 サブネット グループの送信元は次のとおりです。
送信元のタイプ 説明
接続されたインターフェイスとセグメント
  • セグメントで構成され、接続された Tier-1 ゲートウェイからアドバタイズされたサブネットを再配分します。
  • NSX VPC で構成され、接続された NSX VPC からアドバタイズされたサブネットを再配分します。
  • NSX VPC は、すべてのパブリック サブネットを接続された Tier-0 ゲートウェイにアドバタイズします。
スタティック ルート Tier-1 ゲートウェイまたは NSX VPC によってアドバタイズされる、すべてのサブネットとスタティック ルートを再配分します。
NAT IP Tier-1 ゲートウェイまたは NSX VPC によって所有され、Tier-1 ゲートウェイまたは NSX VPC で構成された NAT ルールから検出された NAT IP アドレスを再配分します。
LB VIP ロード バランシング仮想サーバの IP アドレスを再配分します。
LB SNAT IP ロード バランサによって送信元 NAT に使用される IP アドレスまたは IP アドレスの範囲を再配分します。
DNS フォワーダの IP クライアントからの DNS クエリのリスナー IP を再配分します。これは、DNS クエリをアップストリーム DNS サーバに転送するために使用される送信元 IP としても使用されます。
IPsec ローカル エンドポイント IPsec ローカル エンドポイントの IP アドレスを再配分します。

NAT ルールまたはロード バランサの VIP が Tier-0 ゲートウェイ外部インターフェイスのサブネットの IP アドレスを使用する場合、Tier-0 ゲートウェイでプロキシ ARP が自動的に有効になります。プロキシ ARP を有効にすると、オーバーレイ セグメント上のホストと VLAN セグメント上のホストは、物理ネットワーク ファブリックに変更を加えることなくネットワーク トラフィックを交換できます。

プロキシ ARP トポロジのパケット フローの詳細な例については、VMware コミュニティ ポータルの『NSX Reference Design Guide』を参照してください。

プロキシ ARP はアクティブ/スタンバイ構成の Tier-0 ゲートウェイでサポートされ、外部およびサービス インターフェイスの IP アドレスに対する ARP クエリに応答します。さらに、プロキシ ARP は、Permit アクションで構成された IP プレフィックス リストにあるサービスの IP アドレスに対する ARP クエリにも応答します。

アクティブ/アクティブ構成の Tier-0 ゲートウェイでもプロキシ ARP がサポートされます。ただし、アクティブ/アクティブ Tier-0 構成のすべての Edge ノードが、プロキシ ARP を必要とするネットワークに直接アクセスできる必要があります。つまり、プロキシ ARP を機能させるには、Tier-0 ゲートウェイに参加しているすべての Edge ノードで外部インターフェイスとサービス インターフェイスを構成する必要があります。

NSX 4.1.1 以降では、次の API を使用して Tier-0 ゲートウェイのルートの合計数を確認できます。API の詳細については、『NSX API ガイド』を参照してください。

GET /policy/api/v1/infra/tier-0s/{tier-0-id}/number-of-routes
GET /policy/api/v1/global-infra/tier-0s/{tier-0-id}/number-of-routes

前提条件

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [ネットワーク] > [Tier-0 ゲートウェイ] の順に選択します。
  3. [Tier-0 ゲートウェイの追加] を選択します。
  4. ゲートウェイの名前を入力します。
  5. HA(高可用性)モードを選択します。
    デフォルトのモードは、アクティブ/アクティブです。アクティブ/アクティブ モードでは、トラフィックはすべてのメンバー間で負荷分散されています。アクティブ/スタンバイ モードでは、すべてのトラフィックは選ばれたアクティブ メンバーによって処理されます。アクティブ メンバーが失敗すると、新しいメンバーが選ばれてアクティブになります。
  6. HA モードがアクティブ/スタンバイの場合は、フェイルオーバー モードを選択します。
    オプション 説明
    プリエンプティブ 優先ノードで障害が発生し、リカバリした場合、そのピアが先取りされ、アクティブ ノードになります。ピアの状態はスタンバイに変わります。
    非プリエンプティブ 優先ノードで障害が発生し、リカバリした場合、ピアがアクティブ ノードかどうか確認します。アクティブな場合、優先ノードがピアを先取りせず、スタンバイ ノードになります。
  7. (オプション) NSX Edge クラスタを選択します。
  8. (オプション) [設定] をクリックして、ゲートウェイに [DHCP 構成] を追加します。
  9. (オプション) [追加設定] をクリックします。
    1. [内部中継サブネット] フィールドに、サブネットを入力します。
      これは、このゲートウェイ内のコンポーネント間の通信に使用されるサブネットです。デフォルトは 169.254.0.0/24 です。
    2. [T0-T1 中継サブネット] フィールドに、1 つ以上のサブネットを入力します。
      これらのサブネットは、このゲートウェイとそれにリンクしているすべての Tier-1 ゲートウェイ間の通信に使用されます。このゲートウェイを作成して、Tier-1 ゲートウェイをリンクすると、Tier-0 ゲートウェイ側と Tier-1 ゲートウェイ側のリンクには実際の IP アドレスが割り当てられます。[Tier-0 ゲートウェイ] 画面と [Tier-1 ゲートウェイ] 画面で、 [追加設定] > [ルーター リンク] の順に移動すると、このアドレスを確認できます。デフォルトは 100.64.0.0/16 です。

      Tier-0 ゲートウェイが作成されたら、ゲートウェイを編集して、[T0-T1 中継サブネット] を変更できます。これにより、トラフィックが一時的に中断することに注意してください。

    3. [転送タイマー] フィールドに時間を入力します。

      転送タイマーは、最初の BGP、BFD、または OSPF セッションが起動してからルーターが通知を送信するまでの時間を秒単位で定義します。このタイマー(以前の転送遅延)により、動的ルーティング(BGP または OSPF)を使用する NSX Edge でアクティブ/アクティブ構成またはアクティブ/スタンバイ構成の Tier-0 ゲートウェイがフェイルオーバーした場合に、ダウンタイムを最小限に抑えることができます。ここには、最初の BGP/OSPF セッションが起動した後に外部ルーター (TOR) がすべてのルートを NSX Edge にアドバタイズするまでの秒数を設定する必要があります。このタイマーのデフォルト値は 5 秒です。NSX Edge で学習したルートの規模が大きい環境では、より大きな値に増やす必要があります。通常、Tier-0 ゲートウェイには冗長 Edge ノードが必要です。冗長 Edge ノードが使用できない場合は、このタイマーを 0 に設定する必要があります。

  10. ルート識別子の管理アドレスを構成するには、[VRF ゲートウェイのルート識別子] をクリックします。
    これは、インライン モードの EVPN にのみ必要です。
  11. (オプション) 1 つ以上のタグを追加します。
  12. [保存] をクリックします。
  13. IPv6 の場合、[追加設定][ND プロファイル][DAD プロファイル] を選択または作成できます。
    これらのプロファイルは、IPv6 アドレスのステートレス アドレス自動構成 (SLAAC) と重複アドレス検出 (DAD) の構成で使用されます。
  14. (オプション) [EVPN の設定] をクリックして、EVPN を構成します。
    1. EVPN モードを選択します。
      次のオプションがあります。
      • [インライン]:このモードでは、EVPN はデータ プレーンと制御プレーンの両方のトラフィックを処理します。
      • [ルート サーバ]:このゲートウェイの HA モードがアクティブ/アクティブの場合にのみ使用できます。このモードの場合、EVPN は制御プレーン トラフィックのみを処理します。
      • [EVPN なし]
    2. EVPN モードが [インライン] の場合は、EVPN/VXLAN VNI プールを選択するか、メニュー アイコン(3 つのドット)をクリックして新しいプールを作成します。
    3. EVPN モードが [ルート サーバ] の場合は、[EVPN] テナントを選択するか、メニュー アイコン(3 つのドット)をクリックして新しい EVPN テナントを作成します。
    4. [EVPN トンネル エンドポイント] フィールドで [設定] をクリックして、EVPN ローカル トンネル エンドポイントを追加します。
      トンネル エンドポイントの場合は、Edge ノードを選択して IP アドレスを指定します。
      また、MTU を指定することもできます。
      注: 外部インターフェイスが、EVPN トンネル エンドポイントに選択した NSX Edge ノードで構成されていることを確認します。
  15. ルート再配分を構成するには、[ルート再配分] および [設定] をクリックします。
    送信元を 1 つ以上選択します。
    • Tier-0 サブネット:[スタティック ルート][NAT IP][IPsec ローカル IP][DNS フォワーダの IP][ルーター リンク][接続されたインターフェイスとセグメント]

      [接続されたインターフェイスとセグメント] では、[サービス インターフェイスのサブネット][外部インターフェイスのサブネット][ループバック インターフェイスのサブネット][接続されたセグメント] の 1 つ以上の項目を選択できます。

    • Tier-0 サブネット:[スタティック ルート][NAT IP][IPsec ローカル IP][DNS フォワーダの IP][EVPN TEP IP][接続されたインターフェイスとセグメント]

      [接続されたインターフェイスとセグメント] では、[サービス インターフェイスのサブネット][外部インターフェイスのサブネット][ループバック インターフェイスのサブネット][接続されたセグメント] の 1 つ以上の項目を選択できます。

    • アドバタイズされた Tier-1 サブネット:[DNS フォワーダの IP][スタティック ルート][LB VIP][NAT IP][LB SNAT IP][IPsec ローカル エンドポイント][接続されたインターフェイスとセグメント]

      [接続されたインターフェイスとセグメント] では、[サービス インターフェイスのサブネット] または [接続されたセグメント] を選択できます。

  16. インターフェイスを構成するには、[インターフェイスと GRE トンネル] をクリックし、[外部インターフェイスおよびサービス インターフェイス][設定] をクリックします。
    1. [インターフェイスの追加] をクリックします。
    2. 名前を入力します。
    3. 場所を選択します。オンボーディングされたすべてのサイトを選択できます。
    4. タイプを選択します。
      HA モードがアクティブ/スタンバイの場合、選択できるのは [外部][サービス][ループバック] です。HA モードがアクティブ/アクティブの場合は、 [外部] または [ループバック] を選択できます。
    5. IP アドレスを CIDR 形式で入力します。
    6. セグメントを選択します。
    7. インターフェイス タイプが [サービス] でない場合は、NSX Edge ノードを選択します。
    8. (オプション) インターフェイス タイプが [ループバック] でない場合は、MTU 値を入力します。
    9. (オプション) インターフェイス タイプが [外部 ] の場合は、[PIM](プロトコルに依存しないマルチキャスト)を [有効] に設定し、マルチキャストを有効にすることができます。

      次のように構成することもできます。

      • [IGMP 参加ローカル]:1 つ以上の IP アドレスを入力します。IGMP 参加は、ランデブー ポイント (RP) への (*,g) 参加を生成し、参加を実行したノードにトラフィックを転送するデバッグ ツールです。詳細については、「IGMP 参加について」を参照してください。
      • [Hello 間隔(秒)]:デフォルトは 30 です。範囲は 1 ~ 180 です。このパラメータは、Hello メッセージの間隔を指定します。[Hello 間隔] を変更した場合、現在スケジュールされている PIM タイマーが期限切れになった後に変更が有効になります。
      • [ホールド タイム(秒)]:範囲は 1 ~ 630 です。[Hello 間隔] より大きい値にする必要があります。デフォルトは、[Hello 間隔] の 3.5 倍です。この期間内にネイバーがこのゲートウェイから Hello メッセージを受信しなかった場合、ネイバーはこのゲートウェイを到達不能と見なします。
    10. (オプション) タグを追加して ND プロファイルを選択します。
    11. (オプション) インターフェイス タイプが [外部] の場合、[URPF モード] には [厳密] または [なし] を選択できます。
      非対称ルーティングまたは転送は推奨されません。したがって、 [URPF モード] はデフォルトで [厳密] に設定されています。

      対称ルーティングの場合は、同じプレフィックス セットが特定のサイトの Tier-0 ゲートウェイ内の各 Edge ノードからアドバタイズされるように、Tier-0 ゲートウェイと North バウンド ルーター間で構成します。また、特定のサイトの Tier-0 ゲートウェイのすべての Edge ノードの TOR から同じプレフィックスのセットを学習する必要があります。

      Tier-0 ゲートウェイと North バウンド ルーター間に BGP があり、ルート マップまたはフィルタを使用している場合は、この構成がすべての Edge ノードの受信方向と送信方向で一貫していることを確認します。

      プライマリ サイトとセカンダリ サイトを含むフェデレーション環境の場合は、非対称転送を解決するために、セカンダリ サイトの BGP ネイバーでの BGP アドバタイズに対して、より長い AS パスをアドバタイズする必要があります。

      非対称ルーティングが必要な場合は、[URPF モード][なし] に設定します。

    12. (オプション) インターフェイスの作成後、インターフェイスのメニュー アイコン(3 つのドット)をクリックし、[ARP プロキシのダウンロード] を選択すると、ARP プロキシの集約をダウンロードできます。

      ゲートウェイを展開してから [インターフェイス] を展開して、特定のインターフェイスの ARP プロキシをダウンロードすることもできます。インターフェイスをクリックし、メニュー アイコン(3 つのドット)をクリックし、[ARP プロキシのダウンロード] を選択します。

      注: ループバック インターフェイスの ARP プロキシはダウンロードできません。
  17. (オプション) HA モードがアクティブ/スタンバイの場合は、[HA VIP 構成] の横にある [設定] をクリックして、HA VIP を構成します。
    HA VIP が構成されている場合、1 つの外部インターフェイスが切断されていても、Tier-0 ゲートウェイは動作します。物理ルーターは HA VIP とのみ通信します。HA VIP は、BGP ではなくスタティック ルートで機能するように設計されています。
    1. [HA VIP 構成の追加] をクリックします。
    2. IP アドレスとサブネット マスクを入力します。
      HA VIP サブネットは、割り当て先のインターフェイスのサブネットと同じにする必要があります。
    3. 場所を選択します。オンボーディングされたすべてのサイトを選択できます。
    4. HA モードに対して VIP 構成が有効になっていることを確認します。
    5. 2 つの異なる Edge ノードから 2 つのインターフェイスを選択します。
  18. [ルーティング] をクリックして、IP プレフィックス リスト、コミュニティ リスト、スタティック ルート、およびルート マップを追加します。
  19. マルチキャスト ルーティングを構成するには [マルチキャスト] をクリックします。
  20. [BGP] をクリックして BGP を構成します。
  21. [OSPF] をクリックして、OSPF を構成します。この機能は、NSX 3.1.1 以降で使用できます。
  22. (オプション) ルーティング テーブルまたはフォワーディング テーブルをダウンロードするには、次の手順を実行します。
    1. メニュー アイコン(3 つのドット)をクリックして、ダウンロード オプションを選択します。
    2. 必要に応じて、[トランスポート ノード][ネットワーク][送信元] の値を入力します。
    3. [ダウンロード] をクリックして、CSV ファイルを保存します。
  23. (オプション) リンクされた Tier-1 ゲートウェイから ARP テーブルをダウンロードするには、次の手順を実行します。
    1. [リンクされた Tier-1 ゲートウェイ] 列で、番号をクリックします。
    2. メニュー アイコン(3 つのドット)をクリックし、[ARP テーブルのダウンロード] を選択します。
    3. Edge ノードを選択します。
    4. [ダウンロード] をクリックして、CSV ファイルを保存します。

結果

新しいゲートウェイがリストに追加されます。どのゲートウェイの場合でも、メニュー アイコン(3 つのドット)をクリックして構成を変更し、 [編集] を選択します。次の構成の場合は、 [編集] をクリックする必要はありません。ゲートウェイの展開アイコン(右矢印)をクリックしてエンティティを検索し、その横にある数字をクリックします。数値は 0 以外にする必要があります。0 の場合、ゲートウェイの編集が必要です。
  • [インターフェイス] セクション:[外部インターフェイスおよびサービス インターフェイス]
  • [ルーティング] セクション:[IP プレフィックス リスト][スタティック ルート][スタティック ルートの BFD ピア][コミュニティ リスト][ルート マップ]
  • [BGP] セクション:[BGP ネイバー]

NSX フェデレーションが構成されている場合は、グローバル マネージャ (GM) によって作成されたゲートウェイでも、エンティティをクリックしてゲートウェイを再構成できます。GM で作成されたゲートウェイの一部のエンティティはローカル マネージャで変更できますが、それ以外のエンティティは変更できません。たとえば、GM で作成されたゲートウェイの [IP プレフィックス リスト] はローカル マネージャで変更できません。また、ローカル マネージャでは、GM で作成されたゲートウェイの既存の [外部インターフェイスおよびサービス インターフェイス] を編集できますが、インターフェイスを追加することはできません。