作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

在前面幾篇網誌我們已經進行了NSX於IPv6環境內的網路及安全相關配置說明,包含L2/L3的網路連接,上層的應用負載平衡等。於本系列的最後一篇,我想以問答的形式,與大家進行於NSX與維運相關功能於IPv6環境的支援討論。

IPv6環境內,可否運作NSX-T內的Traceflow機制?

可以的,完整支持。請看下面兩圖,進行Traceflow時,IP Address選擇採用IPv6,接著選定虛機與對應網卡時,也可選定上面的對應IPv6地址。下圖內可看到包含連接拓墣,以及一步步的封包傳遞步驟均可詳細顯示。

IPv6環境內,可否運作NSX-T內的Port Mirror機制?

沒有問題。下面首先,我們配置要將各台nginx伺服器進行抓包,並透過Remote L3 Span,以GRE封裝後送往遠端的Wireshark服務。接下來在Wireshark應用內可以看到相關封包資訊,IPv6地址有明確顯示出來進行後續分析。

特別要Highlight的是當採用Remote L3 Span, Remote Server只能使用IPv4地址而不能使用IPv6。如同前面討論,NSX內管理相關構件目前仍然僅能採用IPv4的部署方式。

IPv6環境內,可否運作NSX-T內的Intelligence機制?

可以的,請參考下圖,機器間的flow連結,機器本身資訊,flow細節等都能正確標記出IPv6地址。

同時如果要使用Intelligence進行防火牆規則建議與配置也沒問題:

IPv6環境內, vRealize Network Insight可否正常運作?

在本文寫作此刻vRealize Network Insight為6.4版,還沒有支持IPv6。但在2022年內相關的支持應會逐步完備,包含Network Insight本身可安裝於IPv6環境(6.5版),相關訊息來源之IPv6資訊抓取,以及Flow資訊內的IPv6支持

運作IPv6功能與NSX授權是否相關?

有的。若客戶要在生產環境內使用IPv6之完整功能,請採用NSX-T Advanced以上版本。包含於動態路由協定內進行IPv6資訊交換、IPv6地址動態配置及相關服務,均需要具備Advanced以上版本授權運作。

除了標準安裝及管理文件外,有哪些NSX運作IPv6相關資訊可參考?

在NSX-T Data Center部分,產品PM於2.4版剛推出IPv6功能時,有一篇還滿完整的IPv6介紹於官方部落格,雖然時間較久,但目前看仍有參考價值:

  • https://blogs.vmware.com/networkvirtualization/2019/02/ipv6-support-in-nsx-t-2-4.html/

另外特別推薦一個外部專家的部落格參考,有很詳盡的NSX-T內IPv6配置說明與機制討論

  • https://blog.zuthof.nl/2021/05/14/nsx-t-tidbits-ipv6-feature-support/
  • https://blog.zuthof.nl/2021/06/16/ipv6-series-part-5-ipv6-with-nsx-t/
  • https://blog.zuthof.nl/2021/06/01/nsx-t-ipv6-autoconfiguration-explained/

NSX Advanced Load Balancer部分,官方網頁內有滿詳細的IPv6相關功能討論

  • https://avinetworks.com/docs/21.1/ipv6-support/
  • https://avinetworks.com/docs/21.1/ipv6-vmware-lsc/

就寫到這邊,希望本系列文內的相關討論與實際配置展示,讓大家能更明瞭NSX於IPv6環境內的支持能力與運作機制。