作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

雖然從上個世紀末IPv6 就成為下一世代 IP 定址的標準,到現在已經二十多年,但不可諱言到目前絕大部分企業環境在資料中心內仍然採用 IPv4 的定址方式運作。不過我們也確實看到在部分特別是政府以及電信商的標案,IPv6已經不僅僅只是在標書上要求產品規格支援,在生產環境內也會進行部署、必須真的動起來。但IPv6的相關配置方式就我看到目前仍是VMware客戶與工程師們較不熟悉的,因此接下來幾篇想特別針對在 IPv6 環境內,NSX相關方案的支持能力、限制、基礎配置方式等相關議題,與各位進行說明。

系列文內我要假設大家都對IPv6的定址方式已經具備相關概念,如果需要學習或再度複習,網路上打”IPv6 教學”可以取得非常多免費學習資源。這邊我想分幾篇陸續討論下面課題:

  • NSX-T / NSX ALB現行版本內,IPv6的支持能力列表
  • 以實際展示環境,說明NSX-T內如何建立IPv6配置,包含啟動、路由、IP配送、微分段機制等等相關的流程
  • 在同樣展示環境內,說明NSX ALB內如何建立基於IPv6的Virtual Service / Pool,以及NSX ALB的IPv6支持能力限制
  • 討論IPv6環境內的NSX安全及維運功能
  • 參考資料連結

首先先就NSX-T / NSX ALB現行版本對於IPv6支持功能進行說明。在VMware原廠文件內,對於IPv6相關的配置散在各處較為不好查詢。下表是VMware內部文件,不是最新版本,但對應NSX-T 3.1 及 NSX ALB 20.1版內的IPv6支持功能列表:

細項不一一討論,但針對上表我們先給大家一個在目前版本主要的功能支持與限制說明:

  • 目前無論是NSX-T或是NSX Advanced Load Balancer,管理構件部分都僅能使用IPv4定址。也就是說在NSX-T內,NSX Managers、Edge的管理介面、vCenter/vSphere的管理介面、Overlay網路的TEP介面、甚至如DHCP Server的管理IP配置等,都只能使用IPv4地址。同樣地,NSX Advanced Load Balancer的控制器 (Controller) 以及服務引擎 (Service Engine) 的管理介面也僅能是IPv4。因此,目前NSX-T / NSX ALB不能運作在一個百分之百純IPv6的環境,至少管理網段必須是支持IPv4的。但這個限制目前在我們與大部分客戶的討論上問題都不大,多數專案都僅需要業務網路可以運作IPv6,就沒有問題。
  • NSX-T內,NAT功能只有支持NAT64(將目標為IPv6的地址轉為內部IPv4的地址),NAT46與NAT66目前並沒有support。另外兩個我們有被客戶詢問到,但目前還未具備IPv6支持的包含了VPN功能 (IPSEC / L2VPN),以及與第三方廠商整合的 Service Insertion / Guest Introspection這些。其他絕大部分的網路需求功能均已支持IPv6
  • NSX ALB內,無論業務前端是IPv4/v6定址,後端伺服器是IPv4/v6定址均可支援。目前在負載平衡功能上最主要未支援IPv6的是DSR (Direct Server Return) 機制。其他功能幾乎都能夠支持
  • 在上圖內沒有但特別列出,在NSX-T內的維運相關機制包含Traceflow / Port Mirror / Intelligence等均支持IPv6。但vRealize Network Insight在寫作此時之6.4版尚未支援,預計在後續6.5~6.7版內,會完整支持IPv6環境。

先寫到這邊,通常談到這裡主要是看各個產品能不能回應客戶標書內的IPv6要求,但下篇開始我想和大家做更基礎的討論:NSX如何安裝在IPv6環境。