VMware NSX: VRFの使い方とNSX 4.1 VRF間ルーティングについて

ネットワーク仮想化 VMware NSX 4.1：VRF 新機能のご紹介

前回の記事では、企業のICT環境において利用が浸透するネットワーク仮想化製品 VMware NSX^® の製品の特長と、NSX 4.1 の新機能となる マネージメントプレーンのマルチテナント機能 として、NSX プロジェクト についてご紹介いたしました。また NSX 4.1.1では、このプロジェクトの配下に NSX VPC（Virtual Private Cloud）と呼ばれる、より細かい単位でテナント用のプライベートネットワークを作成できる機能が登場しております。

今後、マルチテナント環境における利便性が大きく向上する NSXとなりますが、今回は NSXの設計における データプレーンのマルチテナント機能 の観点で、NSX 3.0 で登場したTier-0ゲートウェイにおける 仮想ルーティング転送（VRF）の機能と使い方、及び NSX 4.1 における新機能となる「VRF間ルーティング」機能についてご紹介いたします。

VMware NSX：VRF Liteとは

VRF（Virtual Routing and Forwarding ）はTier-0ゲートウェイに作成出来る仮想ルータ機能となり、VRF 毎に個別のルーティングテーブルを保持する事で、テナントごとにデータプレーンを分離する事が可能です。各VRF において、スタティックルート、BGP、NAT、Edgeファイアーウォール機能がサポートされます。NSXは、VRF-Lite（MPLSは非対応）としてVRF 機能をサポートします。

VRF の利用メリットは、テナント単位でTier-0ゲートウェイを建てる必要性がなく、Edgeノードのリソースの削減が可能となる点です。VRF の主なユースケースとしては、テナント毎のネットワーク分離やテスト環境の構築、またNAT を使用せずに複数テナント間で重複したIPアドレスを利用する場合等があげられます。

VRF は下記の様に、バージョン毎に機能拡張が図られています。

• NSX 3.0 VRF Lite：（上述の機能）
• NSX 3.2 VRFルートリーク：各VRF のTier-1ゲートウェイへの接続が前提となりますが、VRF間のルーティング をスタティックルートにより可能にする機能です。各VRF のスタティックルートのネクストホップとして、接続先のVRFの配下のTier-1 DR のアップリンクのIPアドレスを指定します。
• NSX 4.1 VRF間ルーティング：Tier-1ゲートウェイへの接続は必要とせず、スタティックルート又はBGPにてVRF間 のルーティングを提供する機能です。またルートマップ の利用により、ルーティングの制御も可能となります。NSX 4.1 において、NAT、Edge ファイアウォールは非対応です。利用メリットとしては、VRF毎 の独立したルーティング空間の提供と、必要に応じた経路の交換による設計の柔軟性の向上が図れる点であり、ユースケースとしてはISP環境やマルチテナント環境における利用等があげられます。

以下にNSX 3.0 VRF Lite と、NSX 4.1 VRF間ルーティング の設定についてご紹介いたします。

NSX 3.0 VRF Liteの設定

• VRFの作成：VMware NSX^® Manager™ 管理UIの [ネットワーク] > [Tier-0 ゲートウェイ] > [ゲートウェイの追加] > [VRF] の追加よりVRF名 を入力し、接続先の親Tier-0ゲートウェイを選択し、[保存] を選択します。

• VRFのUplinkにVLANセグメントを接続：VRF のアップリンクインターフェースにVLANセグメント を接続します。

• 既存のセグメントをVRFに接続：既存のテナント用のセグメントを、作成したVRF に接続します。

• スタティックルートの設定：VRF のスタティックルートの構成により、テナントのネットワークにおけるNorth Southのルーティングが可能となります。

• BGPの設定：同様にVRF のBGPの構成により、テナントのネットワークにおけるNorth South のルーティングが可能となります。

NSX 4.1 VRF間ルーティングの設定

• VRF間ルーティングの構成：以下の様な構成及び要件にてVRF間 のルーティングを設定します。

• VRF間ルーティングの設定：[ネットワーク] > 該当VRF を選択の上 [ルーティング] > [VRF間ルーティング] を選択します。

　　[VRF間ルーティングの追加] > [接続されたゲートウェイ] に接続先のVRF を選択の上（例：VRF02）> [アドバタイズされた送信ルール] を選択します。

　アドバタイズ送信ルールの名前を入力し、アドバタイズする経路の種類を選択し、VRF間ルーティング を設定します。

　VRF間ルーティング が設定された事を確認します。

• VRF間ルーティングの確認：VRF間ルーティング の経路は、ivs（Inter-VRF-Static）として表示されます。VRF01 のルーティングテーブルにおいて、接続先のVRF02 の接続インターフェースとスタティックルートが ivs経路 として表示されます。（ループバックインターフェースは対象外）なお、VRF間 で重複した経路については、管理ディスタンス値によって、より優先される経路が表示されます。例）VRF01のスタティックルート 0.0.0.0/0 （管理ディスタンス10）より、 VRF02のスタティックルート0.0.0.0/0（管理ディスタンス1）が優先されます。

• INTERVRFインターフェース：VRF間ルーティング を設定すると、VRF間 のトランジットセグメントが作成され、INTERVRFインターフェース が接続されます。INTERVRFインターフェース は、IPv4/v6アドレスが自動で割り当てられますが、明示指定も可能です。

　VRF間ルートアドバタイズの構成 により、INTERVRFインターフェース が自動生成されます。

• 受信フィルタ プレフィックスリスト：[VRF間ルーティングの設定] より [受信フィルタ プレフィックスリスト] を設定する事で、受信する経路を制御出来ます。IPプレフィックスリスト を使用して、受信を許可するネットワークアドレスを指定します。（例：192.168.130.0/24）

• VRFにおける経路の確認：受信フィルタ プレフィックスリストにて許可した経路（192.168.130.0/24）のみ、ivs として受信する様子が確認出来ます。（その他のVRF02の192.168.131.0/24、10.44.12.0/24の直接接続ネットワークや、0.0.0.0/0、33.33.33.33/32のスタティックルートについては受信しません）

まとめ

今回はVMware NSX 3.0 で登場し、3.2 及び 4.1 で機能の強化が図られたVRF機能 についてご紹介をさせていただきました。本機能をご利用いただく事で、NSXのテナント間のルーティング設計において、柔軟性の向上が可能となります。
弊社では今後も、VMware NSX を始めとしたクラウド環境における最適なインフラ基盤の構築、運用をご支援させていただきます。

VMware社 製品担当者様から、本記事へのコメント

前回ご紹介いただいたNSX プロジェクトによるマネジメントプレーンのマルチテナンシーに加えて、旧来からあるデータプレーン・マルチテナンシーのブラッシュアップのご紹介となります。物理ルーターのRoute Leakingと比べてだいぶシンプルに実装されつつ細かな制御がきちんとできるようになったことがポイントです。ぜひご提案、設計時にご利用ください。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。