作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

在前文內我們已經將NSX-T / ALB基礎環境建立、啟用IPv6、並配置了Tier-0 Gateway對外的uplink與路由設置。接下來要進入步驟三,討論建立IPv6 Segment前,於Tier-1 Gateway上需要預先配置的相關步驟:

同樣如前文,作為展示環境的架構圖也顯示如下。在步驟三內我們需要在下面的兩個Tier-1 Gateway上,進行IPv6動態地址選擇與地址重複偵測的Profile配置。

步驟三:建立ND Profile DAD Profile,並配置於T1 Gateway

在我們真正於Tier-1 Gateway上建立IPv6 Segment前,一個重要步驟是先配置ND Profile (SLAAC Profile) 以及 DAD Profile (Duplicated Address Detection Profile)。這是IPv6特有的配置,在純IPv4環境內是沒有的。

NSX-T 介面內點選Networking – Networking Profiles – IPv6 – ND Profiles後便可以定義ND Profile。這個配置是用來定義在 Segment 內要進行 IPv6 動態配置時,IP配發 / Gateway告知 / DNS 配發的機制。很快與大家複習一下IPv6運作,基本上若在網段內要進行動態IP地址與DNS資訊等配發,有兩種機制:

  • SLAAC (Stateless Address Auto-Configuration):透過機器發送Router Solicitation要求並由路由器回應之Router Advertisement,取得網段、Gateway、DNS等資訊,並由機器本身的識別碼,自動配置出機器之IPv6地址
  • DHCPv6:透過IPv6版本的DHCP機制,取得網段及IPv6地址、DNS、及其他DHCP可發送的自動配置資訊如NTP、TFTP地址等

兩種方法都在不同環境內常被使用。SLAAC的好處是配置簡單,不需要建立DHCP伺服器,但由於”Stateless”沒有狀態,管理者不易追蹤機器配址資訊。DHCPv6可以控制IP地址配發並進行記錄 (Stateful),且提供更多的自動配置選項,但要建置並維護DHCP Server就比較麻煩。

在NSX-T內透過ND-Profile可選擇我們要在Tier-1 Gateway下面之IPv6 Segment採用上述的哪種自動配置機制。Profile配置畫面如下:

ND Profile內有五種選擇:

  1. Disabled:T1 Gateway不配發IPv6地址。通常使用在完全手動配置的IPv6網段環境(少見),或是確定此T1 Gateway內僅會有IPv4網段。
  • SLAAC with DNS Through RA:IP網段、Gateway及DNS 資訊均由 IPv6 SLAAC (Router Advertisement) 機制配發。此時,我們要在這個ND Profiles內直接定義DNS以及網域等資訊。

  • SLAAC with DNS Through DHCP:IP網段及Gateway資訊由 IPv6 SLAAC (Router Advertisement) 機制配發,但DNS/網域資訊要詢問此T1 Gateway內的DHCP Server來決定
  • DHCP with Address and DNS Through DHCP:Gateway資訊採用Router Advertisement方式,IP / DNS / 網域資訊則均由 DHCP Server配發
  • SLAAC with Address and DNS Through DHCP:同時運作SLAAC與DHCPv6。這是特殊機制,僅使用在NSX Edge上

大家請將上面的這些機制與http://www.ipv6.org.tw/newc.html 內,由TWNIC編撰的『IPv6位址配發技術介紹』一文進行比對:

  • 第一種方式”Disabled”就對應到文章內的”手工配置地址”這種機制
  • 第二種方式”SLAAC with DNS Through RA”就對應到文章內的”SLAAC RDNSS”這種方法
  • 第三種方式”SLAAC with DNS Through DHCP “就對應到文章內的”Stateless DHCPv6″機制
  • 第四種方式”DHCP with Address and DNS Through DHCP “就對應到文章內的” Stateful DHCPv6″機制,是TWNIC最推薦的方法

基本上,大部分IPv6環境僅使用上面的第2種” SLAAC with DNS Through RA” 或第4種” DHCP with Address and DNS Through DHCP”即可。

另一個可考慮要進行的配置是DAD Profile (Duplicated Address Detection)。如其名,IPv6內會進行IP地址是否重複的檢查,DAD Profile內定義如果發現有重複時的行為是”Loose” (僅告警,仍配置地址) 或是”Strict” (告警外禁止配置地址)。通常在這邊除非特別要求,就是使用標準的預設Profile如下。

當上面的Profile配置完成,即可到後續要配置IPv6 Segment的Tier-1 Gateway上,於Additional Settings內進行Profile配置,如下圖。

另外,若ND Profile內要求是採用DHCP配發的機制(而非SLAAC),則我們也必須於此T1 Gateway內指定所使用的DHCP Server。相關配置方式與標準 IPv4環境內相同,就不贅述。但這邊特別要指出的是雖然這個DHCP Server是要使用在IPv6環境,但由於NSX-T內的管理用相關構件都只能採用IPv4地址,相同的,DHCP Server內配置的那個Server Address目前也必須是IPv4,不能採用IPv6。

在本篇內,我們進行了在真正配置IPv6 Segment前,於Tier-1 Gateway上面需要進行的準備動作,包含IP動態配置的選擇,地址重複狀態選擇,以及DHCP配置。這邊因為是傳統配置IPv4網路時沒有的步驟,因此就寫的囉唆一些。另外兩點特別討論:

  • 雖然我們整篇寫的都是配置在Tier-1 Gateway上,但當然,管理者要配置在Tier-0 Gateway上也是可以的,只是這樣就比較沒有符合NSX建議的分層架構了
  • 由於ND Profile / DAD Profile這些是配置在Gateway上,這代表整個Gateway下面的多個Segments都必須是同樣的配置方式。比如說管理者想要在Seg-101用DHCP的方式,但Seg-102因為其他需求用SLAAC,此時這兩個Segment就必須要放到不同的Tier-1 Gateway上,才能滿足需求。

Gateway上的IPv6配址機制也選擇完成了,下一篇就討論步驟四,配置Segments並且部署虛機。