NSX-T 各个版本更新汇总

原创

dyadin112 2022-08-12 16:02:05 博主文章分类：NSX ©著作权

文章标签 VMware NSX 网络虚拟化容器安全微隔离 文章分类 虚拟化云计算

©著作权归作者所有：来自51CTO博客作者dyadin112的原创作品，请联系作者获取转载授权，否则将追究法律责任

本文汇总下从 NSX-T 1.x 版本开始，各个大小版本支持的功能。
NSX-T 目前最新为 4.0 版本，官方正式将其命名为 NSX，表示 NSX-v 的时代已经过去。

什么是 NSX-T？

NSX-T 是 VMware 推出的面向混合云的网络虚拟化和安全平台。其最初版本主要是为了适应各种 IaaS 平台，例如 vSphere、OpenStack 等，后来在发展过程中，随着业界技术的演进逐渐开始支持 Kubernetes/OpenShift 等容器平台，以及 AWS 等公有云平台，为企业带来跨云的一致性网络和安全方案。

在技术层面，以 vSphere 环境为例，NSX-T 可以在已有物理架构上构建一套全新的网络供上层的 VM 使用，传统物理网络具备的 2~7 层功能 NSX-T 均能实现，而且以分布式的架构做了很多优化，使得这些功能的性能可以随着服务器/工作负载的增加而线性增加。

如下图所示，NSX 的很多功能均嵌入在虚拟化层来实现，对于 Underlay 物理网络来说，并不能直接感知到上层 NSX 的存在，对于工作负载来说，其网络也主要由 NSX 负责，感知不到底层 Underlay 网络的存在。可以理解为 NSX 即使虚拟机和物理网络之间的代理人。通过这样的架构，NSX 可以以透明的方式为 VM 提供很多功能，并且视需求按需开启。

NSX-T 各个版本更新汇总_微隔离

下面是各个版本的功能更新清单（限于篇幅，只保留了常见的功能）：

NSX-T 1.x 功能

通过逻辑交换机（Logical Switch）为 VM 提供二层接入功能。同时支持下列二层网络及安全功能：

设置 QoS 策略
设置 IP 地址发现策略（基于 ARP 或者 DHCP Snooping 发现）
设置 SpoofGuard 策略：防止 ARP 欺骗攻击、恶意更改 IP 等行为
设置交换安全策略：限制一个端口的 MAC 数量等
MAC 地址学习：为一个交换端口自动学习并绑定多个 MAC 地址，一般常见于 MACVLAN/嵌套环境

L2 Bridge 功能：将 VXLAN 二层桥接到 VLAN 网络中
三层网络特性

支持双层网关架构，T0 用于连接虚拟网络和物理网络，T1 为租户提供三层网关功能；
T0 支持静态路由及 BGP 对接
T0 支持 ECMP
T1 支持 SNAT、DNAT 功能
T0 支持无状态 Reflexive NAT
支持 BFD 特性
DHCP Server 及 DHCP Relay
支持 Route-map 功能，用于设置 BGP 属性

分布式安全功能（DFW）

设置 L2 及 L3 防火墙规则
防火墙排除列表（全局白名单）

支持通过下列方式设置安全组

IP 地址集
MAC 地址集
Service Group
其他安全组
逻辑端口
逻辑交换机（VXLAN）

隧道封装使用 Geneve 封装
管理运维相关

IPFIX
端口镜像功能
配置备份恢复
一键生成支持包
Traceflow 功能

NSX-T 2.0 功能（2017）

安全功能增强：

支持通过 VM 名称来设置组，供 DFW 使用
支持 Edge Firewall（即边界防火墙功能）

RBAC 及 vIDM 支持：支持为用户设置 6 个不同的角色，支持集成 VMware Identity Manager 来实现统一登录
支持 Kubernetes 集成（通过 NCP）

NSX-T 2.1 功能（2017）

负载均衡器功能：支持单臂旁挂部署或者 in-line 部署，LB 可以在 vSphere、OpenStack 以及 Kubernetes 等环境中使用
DFW 支持命中统计
增强 NSX-T 仪表盘，增强搜索过滤功能

NSX-T 2.2 功能（2018）

基础网络连接：

支持 VLAN tagging 功能，即可以设置 Trunk 端口组，允许一个接口下有多个 VLAN 流量通过
N-VDS 支持增强的数据路径，即支持 DPDK 功能
支持为 VLAN 逻辑交换机设置 Teaming 绑定策略（仅 ESXi）
支持 CSP 接口，用于将 T0/T1 连接到 VLAN 网络中

Edge Firewall 支持四层状态化防火墙
多云相关：

支持与 Azure 对接实现安全策略统一管理（借助 NSX Cloud）

支持下列 VPN 功能：

基于 IPsec 协议的 L2VPN
L3 IPSec Site-to-Site VPN

自动化相关：

新增 Terraform Provider，可以通过 Terraform 来自动化创建二层逻辑交换机、三层网关、防火墙、组等对象

负载均衡器增强：

支持 SSL Termination
支持访问信息统计
支持访问日志
支持 Sorry Pool

NSX-T 2.3 功能（2018）

支持裸金属服务器，可以为下列 OS 提供 VLAN/VXLAN 网络连接以及四层状态化防火墙功能：

支持 RHEL 7.4、CentOS 7.4、Ubuntu 16.04

多云相关：

支持与 AWS 对接实现安全策略统一管理（借助 NSX Cloud）

支持 T0/T1 服务插入（Service Insertion），可以在 T0/T1 上设置流量重定向策略将流量发给第三方安全产品进行进一步过滤
支持在 CSP 接口上启用状态化 NAT 及状态化防火墙
增加网络拓扑图功能，可以展示 VM 到 VM 间的通信路径，绘制 VM 间经过的逻辑组件（此功能 2.4 被废弃）
自动化相关：

Ansible Module：通过 Ansible Playbook 自动化部署 NSX 组件

NSX-T 2.4 功能（2019）

支持下列 IPv6 功能：

IPv6 静态路由
IPv6 Neighbor Discovery
DHCPv6 relay
IPv6 DFW
IPv6 Edge Firewall
支持 BGP IPv6 address-family，支持相关的前缀列表和 route-map
IPv6 二层交换安全

基础网络连接：

Inter-SR 路由：当 T0 使用 A/A 模式时，不同 Edge 间可以建立 iBGP 邻居，此功能在 Edge Uplink 故障（例如 Edge 和物理设备间连接断开）时，可以保证流量故障 Edge 节点的流量横向发送给其他 Edge 节点，保证流量能被正常转发，避免路由黑洞
T0 支持和物理设备使用 iBGP 对接
支持在有多个不同 AS 号的邻居的情况下开启 ECMP
T0 Uplink 接口支持 ARP 代理

安全功能：

DFW 及 Gateway Firewall 支持 IPv6 流量过滤
支持通过 OS 的名称来设置安全组
支持基于用户身份的防火墙（IDFW），可以基于 Windows AD 安全组来设置防火墙规则
DFW 支持 L7 内容感知防火墙
DFW 支持 URL/FQDN 白名单，可以基于内置的 URL 库放行指定 URL/FQDN 的访问
服务插入功能：通过 Network Service Insertion（SI）接口将流量发送给第三方安全设备进行进一步分析/过滤，例如和第三方 IDS/IPS、NGFW、流量分析工具进行集成。在 2.4 版本之前，仅 T0/T1 支持此特性，2.4 开始支持在东西向上执行
Guest Introspection：提供 GI 接口，用于和第三方无代理防病毒产品进行集成

VM 的 IP 发现策略有所变化：

新增基于 VMtools 的 IP 发现（之前版本具备基于 ARP 和 DHCP Snooping 的 IP 发现）
新增 IPv6 支持（基于 DHCPv6 和 ND）
支持将发现的 IP 手动设置为白名单或者忽略

新增两个全局 MTU 配置：

全局 TEP MTU：即 GENEVE 封装后 IP 报文的 MTU，或者 TEP 接口的 MTU 大小
全局逻辑接口 MTU：所有逻辑接口的 MTU，通常默认为 1500，但可以按需修改

安装相关增强：

通过 Profile 来对 vSphere 集群进行配置安装，以此来提供一致性快速安装
支持通过 UI 来部署额外的 NSX Manager 节点来组成集群
可为主机设置多个 N-VDS，同时支持在 Profile 中指定 VMKernel 和物理网卡迁移配置

Terraform Provider 新增下列功能：

支持创建负载均衡服务
支持配置 DHCP 服务
支持配置 IPAM 相关服务（IP 池、IP 块）

管理运维相关：

Manager 支持三节点组成高可用集群，支持配置 VIP 或者通过外部负载均衡器提供单一访问 IP
合并控制平面和管理平面，两个平面的组件均由一组 NSX Manager 提供
支持 Policy API，即类似于 Kubernetes 的声明式 API
在出现配置变更时自动触发配置备份
Traceflow 增强：支持关联在 CSP 接口的服务，例如 Edge Firewall、负载均衡器、NAT 以及 Route-based VPN

NSX-T 2.4.1 功能（2019）

HCX 支持将工作负载迁移到 NSX-T 环境，可用于 v to T，T to T，其他环境到 T 的迁移

NSX-T 2.5 功能（2019）

新增 NSX Intelligence 组件，可实现下列功能：

接近实时进行流采集
进行流、VM 及组等对象的展示
自动基于采集到的流量进行安全策略推荐

基础网络相关：

Edge Bridge 功能支持将一个 Segment 桥接到多个 VLAN（使用多个 Bridge Profile）
T1 支持 Failure Domain，FD 一般和 AZ、多中心相对应，通过 FD 功能可以保证同一个状态化服务的主备 Edge 节点分布在不同 AZ 或 DC 中，提供站点级别的高可用（FD 设置需要使用 API 完成）
BGP 支持 4 字节 AS 号
支持 BGP Graceful restart

支持下列 IPv6 功能：

支持 IPv6 SLAAC
支持 IPv6 RouterAdvertisement
支持 IPv6 重复地址检测（DAD）

Edge Firewall 支持 L7 内容感知防火墙
防火墙配置相关增强：

在发布策略时自动保存一份策略，同时支持配置回滚功能
配置草稿，用户可以将配置的防火墙策略临时保存为草稿，而不是直接发布
会话时间调整：支持针对 TCP、UDP、ICMP 协议设置会话超时时间
DFW 及 Edge Firewall 同时支持 SYN Flood 保护，用户可以针对 SYN Flood 攻击设置策略进行预警、日志记录或者流量丢弃

Guest Introspection 相关增强：

支持 Linux 无代理防病毒
提供 Endpoint Protection 仪表盘，用于查看受保护/未受保护的 VM、Host Agent 状态，以及 Service VM 状态
提供监控仪表盘，可以监控各个集群第三方服务部署状态

VPN 增强：

T1 支持 IPsec VPN
L2VPN 支持对于 VLAN 进行桥接
强制限制 TCP MSS 大小，通过这种方式可以避免 IP 分片

运维增强：

容量仪表盘：展示当前 NSX Manager 规模下支持的最大容量以及已使用容量
支持 SNMPv3
Traceflow 支持地址解析问题分析：支持通过 Traceflow 注入 ARP/ND 报文，以分析二层解析是否正常

NSX-T 2.5.1 功能（2019）

Edge 节点支持 vSphere 的 DRS、HA、vMotion 等特性

NSX-T 3.0 功能（2020）

基础网络功能：

支持在 vSphere 7.0 上基于 vDS（虚拟分布式交换机）部署 NSX，不再需要 N-VDS
支持 RHEL 7.6 及 RHEL 7.7 裸金属服务器
支持 Windows 2016 裸金属服务器，可为 Windows 提供网络连接和安全功能
T0 支持通过 UI/API 进行高可用模式转换
T1 Uplink 支持出向和入向流量限速
T0 支持 VRF lite 功能：每个 VRF 可以有自己独立的路由表、上行链路、NAT 配置、网关防火墙配置
支持三层组播功能

T0 支持组播复制功能，需要使用组播功能的 VM 需要直接连接到 T0
PR 需要部署在 NSX 外部

支持 NAT64 功能
NSX DHCP 支持 DHCPv6 功能

联邦功能（NSX Federation）：提供多中心联邦功能，可以跨中心实现大二层网络和一致的安全策略管理（3.0 版本的联邦仅可用于测试环境）
Edge 增强：

提供 Xlarge 规模，提供更高的性能和容量
Edge VM BFD 时间最低支持 500ms，裸金属 Edge BFD 时间最低支持 50ms
当 Edge 通过 NSX UI 部署时：

Edge 会自动跟随 ESXi 开机
Edge VM 会自动被加入 DFW 排除列表中

安全功能：

新增安全仪表盘，用于查看防火墙和 IDS 的状态
基于时间的防火墙策略：可以设置规则的生效时间
Edge Firewall 新增 URL 分析功能，可用于分析 VM 访问的域名情况（例如类别、安全评分等）
IDFW 支持过滤 ICMP 协议（仅 VDI 桌面，RDSH 不支持）
IDFW 支持过滤 UDP 流量
新增 D-IDS （分布式 IDS 功能），可以基于特征库对 VM 流量进行分析检测，并在匹配到特征时进行告警和事件记录

VPN 相关：

支持通过 Intel QAT 卡进行 VPN 流量加解密（仅裸金属 Edge）
L2VPN 支持 Local-Egress：L2VPN 的两端可以配置同一个网关地址，VM 的出向流量从本地的网关发出
T1 支持 L2VPN
VPN 支持状态化故障切换：IKE SA 及 IPsec SA 会被实时同步到备份节点，以此来实现无感知故障切换
支持 Path MTU Discovery：通过此特性可以自动发现端到端路径支持的最大 MTU，使得应用在后期传输数据时限制包的大小，避免 IP 分片（此特性 L2 及 L3 VPN 均支持）

自动化相关：

Terraform Provider 支持 Policy API
Ansible Module 支持对对象进行升级

管理运维相关：

支持在部署 NSX Manager 和 Intelligence 时选择磁盘的置备模式（精简置备或厚置备）
Traceflow 支持 Spoofguard：当流量被 Spoofguard 丢弃时，Traceflow 能够进行展示
当主机被移出 NSX 集群时，NSX 相关组件会被自动卸载
支持 SNMP Trap
提供交互式的网络拓扑图：拓扑图可以包含 T0、T1、分段、VM、容器等组件，并支持导出成 PDF
新增快速向导：可以在 Security-Only 场景下快速部署 NSX 组件

支持通过 LDAP 与 AD 服务器对接进行用户认证
支持与 OpenLDAP 对接进行用户认证

NSX-T 3.0.1 功能（2020）

联邦功能增强：

Global Manager 支持三节点集群部署
当 Local Manager 不能访问 Global Manager 时，允许用户通过 Local Manager 修改部分全局对象
GM 支持组嵌套
防火墙规则支持使用其他区域的组（即规则的配置位置和其使用的组的位置不同）
T0 支持 Active/Standby 高可用模式

新增 del nsx 命令行，用于在 UI 卸载 NSX 失败时，用户可以登录到 ESXi 手动进行 NSX 相关组件的删除

NSX-T 3.0.2 功能（2020）

支持 Oracle Linux 裸金属服务器
允许更改 DR（分布式路由器）的 MAC 地址
提供 N-VDS 到 VDS 的 CLI 迁移工具

NSX-T 3.1 功能（2020）

联邦功能增强：

支持为 Global Manager 配置 Standby 集群，部署在第二个数据中心中，数据中心间网络延迟 150ms 内即可
支持 Global Manager 升级，联邦正式支持生产环境

基础网络连接：

可以通过 CLI 查看 L2 Bridge 配置文件以及统计信息
支持在主机属于多个 Overlay TZ 时，将其对应地 TEP 分布在不同的网段中，实现上层 Overlay 和下层 TEP 双重隔离
支持 RFC5549，可以通过 BGP IPv6 only peer 通告 IPv4 路由前缀

支持组播功能：

T1 Gateway 支持组播复制，组播发送者和接收者均连接到 T1
T1 所有上行和下行接口支持 IGMPv2
T0 和物理交换机之间的上行链路支持 PIM-SM
DFW 支持组播流量
支持设置多个静态 RP

Edge 相关：

Edge 节点支持替换功能，即可以部署一台新的 Edge，然后将旧 Edge 节点的服务平滑切换到新节点上
支持为 Edge 网卡配置多个队列以提升性能：可以在 Edge 关机时为 Edge 添加下列高级参数，使得一个网卡有多个队列：

ethernet0.pnicFeatures = "4"
ethernet1.pnicFeatures = "4"
ethernet2.pnicFeatures = "4"
ethernet3.pnicFeatures = "4"

如果 Edge 是 3.1 环境下新部署的，则系统会自动添加上述参数，如果是从早期版本升级到 3.1，则相关 Edge 需要重新部署或者手动添加该参数

安全相关：

FQDN 过滤功能增强，支持自定义 FQDN
支持导出/导入防火墙规则
新增 D-IPS（分布式 IPS 功能），可以基于特征库对 VM 流量进行检测和过滤
增强 D-IPS 仪表盘，可以展示攻击详情
可以基于攻击类型、攻击目标、CVSS 评分来设置防护规则

自动化相关：

Terraform Provider 支持 NSX Federation

安装相关：

增强快速安装向导：提供简单的 UI 来帮助用户快速部署 NSX
对 NSX 安装包大小进行精简
简化裸金属服务器的安装，不再依赖 Ansible 来进行主机准备
正式支持 Manager 单节点部署方式，通过 vSphere HA 来为 Manager 提供高可用

管理运维相关：

Distributed Load Balancer 支持流追踪（DLB 是 vSphere with Tanzu 中的分布式负载均衡组件）
支持更多告警：

容量告警
Edge 健康告警
IDS/IPS CPU 使用率过高、内存使用率过高
IDFW 下与 AD 通信中断或者 AD 增量同步失败
Federation：主 GM 到备 GM 脑裂
控制平面到数据平面超时中断

网络拓扑图中支持展示 VPN 隧道和会话，方便进行 VPN 相关排错
UI 支持深色模式
支持自定义 RBAC 角色：支持根据需求自定义角色和细化权限，在 3.1 之前仅支持预设的几个角色

NSX-T 3.1.1 功能（2021）

基础网络连接：

支持 OSPFv2：T0 和物理设备之间可以使用 OSPF 进行路由对接。目前一个 T0 仅支持单个OSPF 区域，可以是普通类型或者 NSSA 类型
CSP 接口（服务接口）上支持 DHCPv4 Relay

Avi 对接：支持通过 NSX Service Insertion 和 Avi 进行对接，通过此特性可以实现保留客户端 IP 功能。详见：https://avinetworks.com/docs/latest/preserve-client-ip-nsxt-overlay/
管理和运维：

新增本地 Guestuser，此用户默认未激活，可以按需激活使用
NSX License 可以用于为 vSphere 开启 vDS 功能
提供 N-VDS 到 VDS 迁移的 UI 向导（在“系统”>“配置”>“入门”中）

Federation 增强：

支持最多 650 台主机
支持通过 PowerCLI 来进行自动化配置

NSX-T 3.2 功能（2021）

注意：NSX-T 3.2.0 仅支持全新部署，不支持从更老版本升级，升级请使用 3.2.0.1 版本

支持 vCenter 集成：

在 3.2 下，可以通过 vCenter 7.0u3 向导式部署 NSX，部署完成后，在 vCenter 中会出现一个嵌入式 NSX 管理界面，以此来简化管理
在这种配置模式下，支持直接针对 vDS 端口组上的 VM 进行访问控制，而无需像之前版本一样必须将 VM 迁移到 NSX Segment 中

基础网络连接：

Windows 裸金属服务器支持 Bond 网卡绑定
支持 L3 EVPN Route server 模式
ESXi 上的 DR（Distributed Router）支持基于 IP 五元组的 ECMP 转发
T0 A/A 模式下支持代理 ARP
组播支持 T0 A/A，在 3.2 之前，组播流量在 T0 传输时只能是 A/S

安全功能：

支持为 vDS 端口组上的 VM 执行 DFW 或者 IDPS 保护
支持 RHEL 8.0 裸金属服务器
支持更多的七层应用，新增超过 750 种应用特征库
支持分布式防病毒功能及沙箱功能（此功能中国大陆目前不能销售）
IDFW 支持使用 AD、Palo Alto Global Protect、Aruba ClearPass 等作为认证源，可以不再依赖于 VMtools 进行用户身份发现，支持对物理机进行基于身份的访问控制
IDFW 支持针对 SMB 协议进行访问控制
支持基于行为的 IDPS（例如有服务进行端口探测等）
Edge Firewall 支持加密流量审查
Edge 支持 IDS/IPS 功能

新增 NAPP 平台，这是一些运行在 Kubernetes 集群上的管理组件，用于管理：

NSX Intelligence 服务
衡量指标收集和展示
网络流量分析功能（NTA）
网络威胁检测和响应功能（NDR）

容器网络与安全：

支持与 Antrea 进行对接，实现容器网络与虚拟化网络的统一管理
支持通过 NSX UI 为容器集群配置安全策略：通过一致的 UI 为容器和虚拟化配置安全策略
支持和 Antrea 对接实现全路由功能（Tanzu 环境）

联邦功能：

支持 tag 复制功能：在容灾环境下，当 VM 被复制到备份数据中心后，此 VM 的安全 tag 可以被同时复制到备份数据中心，以此来保证 NSX 基于 tag 的策略可以正确应用给两个站点的 VM
支持防火墙草稿功能
Global Manager 支持进行 LDAP 对接实现基于角色的访问控制

管理运维相关：

新增实时流量分析（Live Traffic Analysis）功能：可以实时对虚拟机的流量进行分析，并展示不同会话的通信路径，同时可以提供实时流量的下载功能，以供进一步分析
选择性端口镜像：在端口镜像时可以对流量进行过滤，以此来减少镜像流量，减少开销
全局 MTU 检查，检查相关组件 MTU 配置是否正确
增强拓扑图功能：支持查看 Edge、ESXi 等组件的逻辑架构，同时也可以查看 T0/T1 的细化拓扑图

NSX-T 3.2.1 功能（2022）

联邦功能（NSX Federation）：

支持将已有的非联邦对象转换成联邦对象，实现 Brownfield 的 Federation 部署
Federation Traceflow：在 NSX Global Manager 中可以执行跨中心的流追踪

基础网络功能：

支持 SLES 12 SP5 裸金属服务器

边界防火墙（Gateway Firewall）：

TLS 1.2 流量解密支持在生产环境下部署，使用此功能后，边界防火墙支持对加密流量进行审查和过滤
正式支持 IDPS 特性

Edge 相关：

datapath 支持四个接口（之前仅支持三个接口）。目前仅支持全新部署的 Edge，已有 Edge 需要重新部署

安装和升级：

支持 Manager 滚动升级，在升级时 NSX Manager 可以正常登陆使用
在为主机部署 NSX 时，如果系统发现 vDS MTU 为 1500，则会自动修改 MTU 为 NSX 全局 MTU 大小（一般为 1700）
在裸金属服务器上安装 NSX 时可以使用非 root 用户

N-VDS 到 VDS 迁移工具增强：

支持识别底层 N-VDS 的配置差异，避免因为 N-VDS 重名造成的冲突

NSX-v to NSX-T 迁移器：

支持将 NSX-v Cross-VC 环境迁移到 NSX-T Federation 环境
支持迁移双 TEP 的 Edge 节点
支持在迁移过程中添加主机到站点

NSX-T 3.2.2 功能（2022）

联邦功能（NSX Federation）：

支持在 Global Manager 上配置二层桥接，用于将传统 VLAN 网络和 VXLAN 网络二层打通，用于工作负载无缝迁移。在此版本之前仅支持通过 API 的形式创建，从 3.2.2 版本开始支持 UI 配置桥接

NSX-v to NSX-T 迁移器：

在原位（in-place）迁移过程中，支持暂停和移除主机
新增新的迁移模式：配置和 Edge 迁移
自定义拓扑支持：使用 Lift-and-shift 进行迁移时，支持 NSX-T LB

安装和升级：

支持 sub-Transport Node Profile。在传输节点配置文件内创建子配置文件，适合于 vSAN 延伸集群等环境下为一个集群内不同主机进行差异化配置
允许让一个 vCenter 对接多个 NSX Manager，这种配置允许用户为每个 vSphere 集群配置不同的 NSX 来提供网络功能

运维：

NSX 备份配置提醒，当部署完 NSX 后如果未进行备份配置，系统将会提醒用户需要配置备份
将升级评估工具集成到了升级向导中。在 3.2.1 时升级评估工具集成在一个 ova appliance 中，从此版本开始，升级评估工具直接嵌入在了升级向导中，直接运行 pre-upgrade check 即可使用

不再支持的功能：

不再支持在 NSX-T UI 中集成 Avi（NSX Advanced Loadbalancer）。如果需要使用 Avi，需要使用传统模式部署。

NSX 4.0.0.1 功能（2022）

从 4.x 开始，NSX-T 将重命名为 NSX。

基础网络连接：

管理平面支持 IPv6：NSX 从 2.4 版本开始就已经支持数据平面的 IPv4/IPv6 双栈，从 4.0 开始，NSX 的管理平面也开始支持 IPv4/IPv6 双栈，即用户可以为 NSX Manager 设置双栈地址，通过双栈地址管理 NSX Manager
除此之外， NSX 4.0 Manager 也支持下列服务和访问：

IPv6 syslog
IPv6 SNMP
IPv6 SSH
IPv6 SFTP (备份和恢复)
通过 IPv6 与 DNS 服务器通信
通过 IPv6 与 NTP 服务器通信
设置 IPv6 集群 VIP
通过 IPv6 与 LDAP/AD 服务器通信，此特性支持 NSX IDFW（基于用户身份的防火墙）及 AD 集成认证
通过 IPv6 与其他 VMware 运维工具集成，例如 vRNI, vRLI 及 vROPs 等

允许在 T0 创建后修改 T0 和 T1 间接口的网段。在 4.0 之前，仅有在创建 T0 时才能指定此接口的网段，默认为 100.64.0.0/16
基于策略的 VPN 支持 NAT：NAT 规则目前可以应用给 Policy-based VPN 解封装后的流量，来执行 DNAT 或者 no-DNAT 策略
简化 DHCP UI 配置工作流
DHCP Server 支持 Standby 重选举，即当 DHCP 主节点故障后，备节点会提升为主，但是此时再没有备份节点，开启此功能后，NSX 可以自动再为环境分配一个新的备份节点（以前 NSX T1 支持此功能）

安全相关：

支持 IP 黑名单：DFW 开始支持 IP 黑名单，开启后与黑名单 IP 相关的访问均会被丢弃。IP 黑名单库是由 NSX 云端服务提供，需要联网更新，每天可能更新数次
新增支持下列裸金属 OS ：RHEL 8.2, 8.4, Ubuntu 20.04, CentOS 8.2, 8.4

支持 VPN 的抓包和流追踪
不再支持的功能/环境：

废弃 ESXi 上的 N-VDS 功能，4.0 及之后部署中，必须使用 VDS 来进行部署，早期的 NSX VDS 将不可用
仅支持 vSphere Integrated OpenStack（VIO），不再支持其他 OpenStack 及 KVM 环境
不再支持下列裸金属 OS：RHEL 7.8, 8.0, 8.3, CentOS 7.8, 8.0, 8.3

NSX 4.0.1.1 功能（2022）

DPU 网络安全加速：

NSX 现已支持将 NSX 的数据平面下放到 DPU（Data Processing Unit）网卡中执行，这种方式可以极大提升 NSX 性能，同时释放 ESXi 主机的 CPU 和内存资源，使得 ESXi 可以承载更多的工作负载
支持的网络特性：

Overlay 和 VLAN Segment
分布式 IPv4 和 IPv6 路由
NIC Teaming

支持的安全特性：

分布式防火墙
分布式 IDS/IPS

可视性和运维：

Traceflow
IPFIX
抓包
端口镜像
网络统计信息

支持的硬件：

NVIDIA Bluefield-2 (25Gb 网卡) – (UPT - Tech Preview)
AMD / Pensando (25Gb 及 100Gb 型号的网卡)

支持 UPT v2（Uniform Passthrough）：bypass hypervisior 将 DPU 直通给 VM 来使用，可以极大提升 VM 的性能（包括 pps、延迟等），同时这种模式支持 vMotion，相比传统的 SR-IOV 有很大的实用性提升

Edge 增强：

支持状态化 A/A 服务，在此版本之前对于 NAT、网关防火墙、URL 过滤等状态化服务，相应的 Tier0/Tier1 需要配置为 A/S 模式。从 4.0.1.1 开始将支持在 A/A 模式下启用这些状态化服务
支持 DPU 的 DPDK
支持通过 API 为 Tier0-SR 设置 relocate 策略
新增下列警告：

CPU 使用率的警告
NSX Manager 和 NSX Edge Node 节点间通信情况警告
路由表条目超额警告，BGP 宣告的条目数超额警告

IDS/IPS 增强：

支持在高 CPU 使用率时设置 Bypass 策略，此配置支持在 Rule 级别进行设置

NSX 原生防病毒功能：

支持 Linux VM 的分布式防病毒检测
裸金属 Edge 节点开始支持防病毒功能

联邦功能（NSX Federation）：

支持针对每个站点启用和禁用防火墙
支持设置全局排除列表
支持基于时间的防火墙规则

NAPP 相关：

NSX 4.0.1.1 支持 NAPP 4.0.1.0 版本
NAPP 支持运行在 Kubernetes 1.20~1.24 版本

安装和升级：

在 vSphere with Tanzu 进行升级时，NSX 界面会有相关的提醒，避免用户误操作
增强升级顺序：在此版本之前，NSX 升级顺序是固定的（Edge>ESXi>Manager），从 4.0.1 版本开始，支持将 Edge 或 ESXi 加组，以组为单位进行灵活升级。但是 NSX Manager 依然需要在所有 Edge 和 ESXi 升级完成后才能进行升级
支持通过 SSH key 来进行备份服务器的对接。在此之前，只能通过用户名+密码进行备份服务器对接
强制同步主机：如果传输节点配置和管理平面出现不一致，现在可以通过 UI 强制同步主机

多租户支持：

NSX 支持多租户：引入 Projects（项目）这一对象，项目间的资源相互隔离。在这种模式下 NSX 将原生支持多租户管理，不同用户只能看到和自己相关的对象。目前版本下仅能通过 API 进行 Projects 相关配置

NSX vSphere UI 增强：

支持在 vCenter 中配置 NSX Manager 集群
在 vCenter 中展示 NSX 事件
支持跳过初始化向导
支持在 vCenter 中配置 NSX 备份

NSX 4.1 功能（2023）

注意：NSX 4.1.0 因为存在产品缺陷，目前已被召回，请使用 4.1.0.2 版本替代。详见：

https://docs.vmware.com/en/VMware-NSX/4.1.0.2/rn/vmware-nsx-4102-release-notes/index.html

网络连接

控制平面 IPv6 支持：管理平面（NSX Manager）和本地控制平面（传输节点）通信支持使用 IPv6。如果要使用此功能，NSX Manager 需要部署为双栈模式，与传输节点通信时可以使用 IPv4 或者 IPv6，当传输节点也是双栈时，优先使用 IPv6 通信
多 TEP 下 Uplink 故障检查：当主机配置多个 TEP 时，NSX 可以借助 BFD 来检查上行链路的通信情况，当发生上游交换机/接口故障时，自动将 TEP 切换到正常的网卡中。此功能可以避免一些极端情况引起的故障（比如交换机故障，但是网口状态依然为 Up）
支持调整 BGP AD 管理距离
支持为每个 T0 VRF 设置自定义 AS 号，在此之前每个 VRF 和其父 T0 共享 AS
支持 VRF 间路由：支持为不同 VRF 配置路由连接，更好实现多 VRF 下横向互通需求。在此之前，需要使用静态路由泄露方式实现 VRF 间互通
支持 IPv6 IPsec VPN：IPsec VPN 支持通过 IPv6 来建立，建立后隧道上可以传送 IPv4 以及 IPv6 流量

DPU 网络安全加速：

UPT v2 功能在 NVIDIA BlueField-2 网卡上正式发布
NSX DFW 功能（状态化 L2~L3）正式发布，可以用于生产环境

Edge 相关：

在 NSX Manager 上增加与 Edge 相关的 API：支持调整 HA 重启优先级、coalescingScheme、coalescingParams
Edge Node OS 升级到 Ubuntu 20.04
在进行 Edge 升级时，虚拟硬件会升级到 ESXi 支持的最高版本以提供更好的性能

容器网络与安全

增强 Antrea 与 NSX 的集成：NSX 4.1 下用户可以创建同时包含容器及 VM 的防火墙规则，简化虚拟化环境与容器环境之间的访问控制（详见：https://docs.vmware.com/en/VMware-NSX/4.1/administration/GUID-806E5983-5D44-4B9E-8981-707C3D6E0CE6.html）