VMware NSX 网络逻辑图

逻辑图

VMware NSX 网络逻辑架构说明

一、整体概览

• 传输区域（Transport Zone）
• Tier-0 和 Tier-1 网关
• 分布式路由器（Distributed Router）
• 服务路由器（Service Router）
• Overlay 网络与 VLAN 网络
• Edge 节点与网关防火墙
• DHCP、NAT、负载均衡等服务

二、核心组件解析

1. 传输区域（Transport Zone）

• 定义了 NSX Overlay 或 VLAN 网络的边界。
• 每个传输区域关联一个或多个 N-VDS（NSX Virtual Distributed Switch）。
• Overlay 用于隧道封装（Geneve），实现虚拟机的跨主机的虚拟化二层网络通信。

2. Tier-0 网关

• Tier-0 网关主要负责南北向流量（North-South Traffic），连接物理网络。
• 提供 BGP/OSPF 动态路由，实现与物理路由器的互通。
• Tier-0 网关主要承载在 Edge 传输节点上。

3. Tier-1 网关

• Tier-1 网关主要负责东西向流量（East-West Traffic），连接虚拟机。
• 可以挂载多个逻辑交换机（Overlay Segment）、VLAN分段。
• 支持 NAT、DHCP、负载均衡等服务。

4. 分布式路由器（DR）与服务路由器（SR）

• DR（Distributed Router）：运行在 ESXi 主机上，负责分布式路由，降低流量回程。
• SR（Service Router）：运行在 Edge 节点上，处理需要集中化的有状态服务（如 NAT、VPN、动态路由等）。

三、Overlay 与 VLAN 网络

• Overlay 网络：通过 Geneve 隧道封装，实现跨主机通信。
• VLAN 网络：用于连接物理网络或特定场景。

四、安全与服务

• 网关防火墙（Gateway Firewall）：关联在 Tier-0/Tier-1 网关上，控制南北向流量。
• 分布式防火墙（DFW）：关联在虚拟机 vNIC 上，控制东西向流量。
• 身份防火墙（IDFW）：通过VMware Tools 映射AD用户和IP关联进行管控流量。
• DHCP 服务：可在 Tier-1 网关上启用。
• NAT：通常在 Tier-0 或 Tier-1 网关上配置。

五、逻辑图中的关键关系

• Tier-0 网关连接物理网络（WAN），并通过 BGP 与外部路由器交换路由。
• Tier-1 网关连接 Overlay Segment，提供虚拟机网络。
• Edge 节点承载 Tier-0/Tier-1 的 SR 组件，处理集中化服务。
• 传输区域定义 Overlay 和 VLAN 的边界，确保网络隔离。

运维技术交流群 - 关注公众号下载高清PDF版本

关注WX公众号：网工格物