Compatibilidad de funciones detallada para la migración

Compatibilidad de plataforma

Consulte las versiones compatibles de ESXi y vCenter Server en la Matriz de interoperabilidad de VMware.


Configuración de NSX-V	Compatible	Detalles
NSX-V con vSAN o iSCSI en vSphere Distributed Switch	Sí
Configuración de NSX-T preexistente	No	Debe implementar un nuevo entorno de NSX-T. Si el modo de migración no es para una topología definida por el usuario, durante el paso Importar configuración, se apagarán todas las interfaces de nodo de NSX-T Edge en el entorno de NSX-T. Si el entorno de NSX-T está en uso, esto interrumpirá el tráfico.
Cross-vCenter NSX	(NSX-T 3.2.1 y versiones posteriores) Sí (NSX-T 3.2.0) Sí, pero sin instancias secundarias de NSX Manager	(NSX-T 3.2.1 y versiones posteriores) Solo se admite si selecciona el modo Migrar NSX for vSphere y Topología definida por el usuario. (NSX-T 3.2.0) La migración de una implementación de NSX-V de un solo sitio que contiene una instancia de NSX Manager en modo principal, no se admiten instancias secundarias de NSX Manager con objetos universales en el sitio principal. Una implementación de NSX-V de un solo sitio se migra a un entorno de NSX-T de un solo sitio (no federado) con objetos locales. No se admite la migración de una implementación de Cross-vCenter NSX-V con una instancia principal de NSX Manager y varias instancias secundarias de NSX Manager. El coordinador de migración solo migrará desde una instancia de NSX-V Manager con la función Principal o Independiente. Puede modificar el entorno de NSX-V cambiando el estado de los administradores secundarios para migrar cada entorno de NSX-V de forma independiente.
Dominios de carga de trabajo de VCF	(NSX-T 3.2.1 y versiones posteriores) Sí
NSX-V con una plataforma de administración de la nube, una solución integrada de pila o una solución PaaS	Sí	Se admite la migración de NSX-V con vRealize Automation. Póngase en contacto con su representante de VMware antes de continuar con la migración. Los scripts y las integraciones podrían interrumpirse si migra los entornos integrados: Por ejemplo: NSX-V y vCloud Director NSX-V con solución de pila integrada NSX-V con una solución de PaaS, como Pivotal Cloud Foundry o RedHat OpenShift NSX-V con flujos de trabajo de vRealize Operations

Funciones de vSphere y ESXi


Configuración de NSX-V	Compatible	Detalles
El host ESXi ya está en modo de mantenimiento (sin máquinas virtuales)	Sí
Network I/O Control (NIOC ) versión 3	Sí
Network I/O Control (NIOC ) versión 2	No
Network I/O control (NIOC) con vNIC con reserva	No
Conmutador estándar de vSphere	No	Las máquinas virtuales y las interfaces de VMkernel de VSS no se migran. No se pueden migrar las funciones de NSX-V que se aplican a VSS.
vSphere Distributed Switch	Sí
ESXi sin estado	No
Perfiles de host	No
Modo de bloqueo de ESXi	No	No admitido en NSX-T.
Tarea de modo de mantenimiento pendiente del host ESXi.	No
Host ESXi desconectado en el clúster de vCenter	No
vSphere FT	No
vSphere DRS totalmente automatizado	Sí	Se admite a partir de vSphere 7.0
vSphere High Availability	Sí
ACL de filtrado de tráfico	No
Comprobación de estado de vSphere	No
SRIOV	No
vmknic anclado a NIC física	No
VLAN privada	No
DvPortGroup efímero	No
DirectPath I/O	No
Seguridad L2	No
Conmutador de aprendizaje en conexión virtual	No
Puerta de enlace de hardware (integración de endpoint de túnel con hardware de conmutación física)	No
SNMP	No
vNIC desconectado en la máquina virtual	No	Debido a las limitaciones de ESX 6.5, pueden aparecer entradas obsoletas en DVFilter para máquinas virtuales desconectadas. Reinicie la máquina virtual como solución alternativa.
Número de puerto VXLAN distinto de 4789	No
Modo de filtrado de multidifusión	No
Hosts con varios VTEP	Sí

Configuración del sistema del dispositivo de NSX Manager


Configuración de NSX-V	Compatible	Detalles
Configuración de tiempo/servidor NTP	Sí
Configuración de servidor syslog	Sí
Configuración de copia de seguridad	Sí	Si es necesario, cambie la frase de contraseña de NSX-V para que cumpla los requisitos de NSX-T. Debe tener al menos 8 caracteres e incluir lo siguiente: Al menos una letra en minúscula Al menos una letra en mayúscula Al menos un carácter numérico Al menos un carácter especial
FIPS	No	NSX-T no admite la activación/desactivación de FIPS.
Configuración regional	No	NSX-T solo admite la configuración regional en inglés
Certificado de dispositivo	No

Control de acceso basado en funciones


Configuración de NSX-V	Compatible	Detalles
Usuarios locales	No
Funciones de NSX asignadas a un usuario de vCenter agregado a través de LDAP	Sí	VMware Identity Manager debe estar instalado y configurado para migrar las funciones de los usuarios de LDAP.
Funciones de NSX asignadas a un grupo de vCenter	No

Certificados


Configuración de NSX-V	Compatible	Detalles
Certificados (servidor, CA firmada)	Sí	Se aplica únicamente a los certificados agregados mediante las API de truststore.
Cambios de certificado durante la migración	(NSX-T 3.2.0) No (NSX-T 3.2.1 y versiones posteriores) Sí	(NSX-T 3.2.1 y versiones posteriores) Se admiten cambios de certificados cuando la migración está en pausa para todos los modos de migración, excepto para la migración de redes de vSphere. No se admite cuando se migran hosts y cargas de trabajo.

Operaciones


Detalles	Compatible	Notas
CDP del protocolo de detección	Consulte las notas.	Sí, si se migra a VDS 7.0. No, si se migra a N-VDS.
LLDP del protocolo de detección	Sí	El modo de escucha está activado de forma predeterminada y no se puede cambiar en NSX-T. Solo se puede modificar el modo de anuncio.
PortMirroring: Origen de creación de reflejo remoto encapsulado (L3)	Sí	Solo se admite el tipo de sesión L3 para la migración
PortMirroring: PortMirroring distribuido Origen de creación de reflejo remoto Destino de creación de reflejo remoto Creación de reflejo del puerto distribuido (heredado)	No
IPFIX L2	Sí	No se admite LAG con IPFIX
Firewall distribuido de IPFIX	No
Aprendizaje de MAC	Sí	Debe habilitar (aceptar) transmisiones falsificadas.
VTEP de hardware	No
Modo promiscuo	No
Asignación de recursos	No	No se admiten vNIC habilitadas con asignación de recursos
IPFIX: flujos internos	No	No se admite IPFIX con flujos internos

Conmutador


Configuración de NSX-V	Compatible	Detalles
Conexión con puentes L2	No
entroncar VLAN	Sí para la migración local No para la migración lift-and-shift	Los grupos de puertos de vínculo superior troncal deben configurarse con un rango 0-4094 de VLAN.
Configuración de VLAN	Sí	Solo se admite la configuración con VLAN (no VXLAN).
Formación de equipos y conmutación por error: Equilibrio de carga Orden de conmutación por error de vínculo superior	Sí	Opciones admitidas para el equilibrio de carga (directiva de formación de equipos): Utilizar orden explícito de conmutación por error Enrutar según el hash de MAC de origen No se admiten otras opciones de equilibrio de carga.
Formación de equipos y conmutación por error: Detección de errores de red Notificar a conmutadores Invertir directiva Orden modificable	No
LACP	Sí	Para VDS 7.0 y versiones posteriores, la funcionalidad de LACP no se modifica durante la migración. Para versiones anteriores de VDS, un nuevo conmutador N-VDS reemplaza a VDS. Esto provocará una pérdida de tráfico durante la migración del host. IPFIX configurado en DVS (no IPFIX de DFW) no es compatible con LACP

Seguridad del conmutador y detección de direcciones IP


Configuración de NSX-V	Compatible con migración	Detalles
Detección de IP (ARP, ND, DHCPv4 y DHCPv6)	Sí	Los siguientes límites de enlace se aplican en NSX-T para la migración: 128 para IP detectadas de ARP 128 para direcciones IP detectadas por DHCPv4 15 para direcciones IP detectadas por DHCPv6 15 para direcciones IP detectadas por ND
SpoofGuard (manual, TOFU, deshabilitado)	Sí
Seguridad de conmutador (filtro BPDU, bloque de cliente DHCP, bloque de servidor DHCP, protección de RA)	Sí
Migrar enlaces de rutas de acceso desde el módulo de seguridad del conmutador en NSX-V hasta el módulo de seguridad del conmutador en NSX-T	Sí	Si SpoofGuard está habilitado, los enlaces se migran desde el módulo de seguridad del conmutador para admitir la supresión de ARP. VSIP: la seguridad del conmutador no se admite, ya que los enlaces de VSIP se migran como reglas configuradas estáticamente.
Perfiles de detección	Sí	Los perfiles de ipdiscovery se crean después de la migración mediante la configuración de detección de direcciones IP para el conmutador lógico y la configuración de DHCP y ARP de clúster y global.

Plano de control central


Configuración de NSX-V	Compatible	Detalles
Réplica de VTEP por conmutador lógico (VNI) y dominio de enrutamiento	Sí
Replicación de MAC/IP	No
Zonas de transporte de NSX-V mediante multidifusión o modo de replicación híbrida	No
Zonas de transporte de NSX-V mediante el modo de replicación de unidifusión	Sí

Funciones de NSX Edge


Configuración de NSX-V	Compatible	Detalles
El enrutamiento entre la puerta de enlace de servicios Edge y el enrutador en dirección norte.	Sí	Se admite BGP. Se admiten rutas estáticas. Se admite OSPF.
Enrutamiento entre la puerta de enlace de servicios Edge y el enrutador lógico distribuido	Sí	Las rutas se convierten en rutas estáticas después de la migración.
Equilibrador de carga	Sí	Consulte Modos de migración para obtener información detallada.
Entorno de microsegmentación respaldado por VLAN	Sí
NAT64	No	No admitido en NSX-T.
Configuración en el nivel de nodo en la puerta de enlace de servicios Edge o enrutador lógico distribuido	No	No se admite la configuración en el nivel del nodo, por ejemplo, syslog o servidor NTP. Puede configurar syslog y NTP manualmente en los nodos de NSX-T Edge.
IPv6	No
Configuración del filtro de ruta inversa de unidifusión (URPF) para interfaces de puerta de enlace de servicios Edge	No	El URPF se establece como Estricto en interfaces de puerta de enlace NSX-T.
Interfaces de puerta de enlace de servicios Edge de la configuración de la unidad de transmisión máxima (MTU)	No	Consulte Cambiar la configuración de MTU global para obtener información sobre cómo cambiar la MTU predeterminada en NSX-T.
Enrutamiento de multidifusión IP	No
Filtros de prefijo de redistribución de rutas	No
default-originate	No	No admitido en NSX-T.

Firewall de Edge


Configuración de NSX-V	Compatible	Detalles
Sección de firewall: nombre para mostrar	Sí	Las secciones del firewall pueden tener un máximo de 1000 reglas. Si una sección incluye más de 1000 reglas, se migrará en varias secciones.
Acción para regla predeterminada	Sí	API de NSX-V: GatewayPolicy/action API de NSX-T: SecurityPolicy.action
Configuración global de firewall	No	Se utilizan los tiempos de espera predeterminados
Regla de firewall	Sí	API de NSX-V: firewallRule API de NSX-T: SecurityPolicy
Regla de firewall: nombre	Sí
Regla de firewall: etiqueta de regla	Sí	API de NSX-V: ruleTag API de NSX-T: Rule_tag
Orígenes y destinos en las reglas de firewall: Objetos de agrupamiento Direcciones IP	Sí	API de NSX-V: source/groupingObjectId source/ipAddress API de NSX-T: source_groups API de NSX-V: destination/groupingObjectId destination/ipAddress API de NSX-T: destination_groups
Orígenes y destinos de reglas de firewall: Grupo de vNIC	No
Servicios (aplicaciones) en reglas de firewall: Servicio Grupo de servicios Protocol/port/source port	Sí	API de NSX-V: application/applicationId application/service/protocol application/service/port application/service/sourcePort API de NSX-T: Servicios
Regla de firewall: Hacer coincidir con traducida	No	Hacer coincidir con traducida debe ser "false".
Regla de firewall: Dirección	Sí	Ambas API: direction
Regla de firewall: Acción	Sí	Ambas API: action
Regla de firewall: Habilitada	Sí	Ambas API: enabled
Regla de firewall: Registro	Sí	API de NSX-V: logging API de NSX-T: logged
Regla de firewall: Descripción	Sí	Ambas API: description

NAT de Edge


Configuración de NSX-V	Compatible	Detalles
Regla NAT	Sí	API de NSX-V: natRule API de NSX-T: /nat/USER/nat-rules
Regla NAT: Etiqueta de regla	Sí	API de NSX-V: ruleTag API de NSX-T: rule_tag
Regla NAT: Acción	Sí	API de NSX-V: action API de NSX-T: action
Regla NAT: Dirección original (dirección de origen para reglas SNAT y dirección de destino para reglas DNAT).	Sí	API de NSX-V: originalAddress API de NSX-T: source_network para reglas SNAT o destination_network para reglas DNAT
Regla NAT: translatedAddress	Sí	API de NSX-V: translatedAddress API de NSX-T: translated_network
Regla NAT: aplicar regla NAT en una interfaz específica	No	Se debe aplicar como "any".
Regla NAT: Registro	Sí	API de NSX-V: loggingEnabled API de NSX-T: logging
Regla NAT: Habilitada	Sí	API de NSX-V: enabled API de NSX-T: disabled
Regla NAT: Descripción	Sí	API de NSX-V: description API de NSX-T: description
Regla NAT: Protocolo	Sí	API de NSX-V: protocol API de NSX-T: Service
Regla NAT: Puerto original (puerto de origen para reglas SNAT, puerto de destino para reglas DNAT)	Sí	API de NSX-V: originalPort API de NSX-T: Service
Regla NAT: Puerto traducido	Sí	API de NSX-V: translatedPort API de NSX-T: Translated_ports
Regla NAT: Dirección de origen en regla DNAT	Sí	API de NSX-V: dnatMatchSourceAddress API de NSX-T: source_network
Regla NAT: Dirección de destino en la regla SNAT	Sí	API de NSX-V: snatMatchDestinationAddress API de NSX-T: destination_network
Regla NAT: Puerto de origen en regla DNAT	Sí	API de NSX-V: dnatMatchSourcePort API de NSX-T: Service
Regla NAT: Puerto de destino en la regla SNAT	Sí	API de NSX-V: snatMatchDestinationPort API de NSX-T: Service
Regla NAT: identificador de regla	Sí	API de NSX-V: ruleID API de NSX-T: id y display_name

L2VPN


Configuración de NSX-V	Compatible	Detalles
Configuración de L2VPN basada en IPSec con la clave compartida previamente (PSK)	Sí	Se admite si las redes que se amplían a L2VPN son un conmutador lógico superpuesto. No se admite con redes VLAN.
Configuración de L2VPN basada en IPSec mediante la autenticación basada en certificados	No
Configuración de L2VPN basada en SSL	No
Configuraciones de L2VPN con optimizaciones de salida local	No
Modo de cliente de L2VPN	No

L3VPN


Configuración de NSX-V	Compatible	Detalles
Dead Peer Detection	Sí	La detección de pares muertos admite diferentes opciones en NSX-V y NSX-T. Es posible que desee considerar el uso de BGP para una convergencia más rápida o configurar un elemento del mismo nivel para realizar DPD si se admite.
Se cambiaron los valores predeterminados de Dead Peer Detection (DPD) para: dpdtimeout dpdaction	No	En NSX-T, dpdaction se establece como "restart" y no se puede cambiar. Si la configuración de NSX-V para dpdtimeout se establece en 0, DPD se deshabilitará en NSX-T. De lo contrario, se ignorará la configuración de dpdtimeout y se utilizará el valor predeterminado.
Se cambiaron los valores predeterminados de Dead Peer Detection (DPD) para: dpddelay	Sí	dpdelay de NSX-V se asigna a dpdinternal de NSX-T.
Superposición de subredes locales y elementos del mismo nivel de dos o más sesiones.	No	NSX-V es compatible con las sesiones de VPN de IPSec basadas en directivas donde las subredes locales y del mismo nivel de dos o más sesiones se superponen entre sí. Este comportamiento no se admite en NSX-T. Debe volver a configurar las subredes para que no se superpongan antes de iniciar la migración. Si no se resuelve este problema de configuración, se produce un error en el paso Migrar configuración.
Las sesiones IPSec con un endpoint del mismo nivel se establecen como "any".	No	La configuración no se migra.
Cambios en la extensión securelocaltrafficbyip.	No	El enrutador de servicio de NSX-T no tiene ningún tráfico generado local que deba enviarse a través del túnel.
Cambios en estas extensiones: auto, sha2_truncbug, sareftrack, leftid, leftsendcert, leftxauthserver, leftxauthclient, leftxauthusername, leftmodecfgserver, leftmodecfgclient, modecfgpull, modecfgdns1, modecfgdns2, modecfgwins1, modecfgwins2, remote_peer_type, nm_configºured, forceencaps,overlapip, aggrmode, rekey, rekeymargin, rekeyfuzz, compress, metric,disablearrivalcheck, failureshunt,leftnexthop, keyingtries	No	Estas extensiones no son compatibles con NSX-T y los cambios no se migran.

Equilibrador de carga

La siguiente tabla se aplica a la migración del equilibrador de carga de NSX-V al equilibrador de carga de NSX-T (NLB) o a NSX-T Advanced Load Balancer (ALB). Para obtener información sobre la migración del equilibrador de carga de NSX-V a ALB, consulte Migrar el equilibrador de carga de NSX-V a Advanced Load Balancer.


Configuración de NSX-V	Compatible	Detalles
Supervisión/comprobaciones de estado para: LDAP DNS MSSQL	Consulte los detalles.	(NLB) Los monitores no se migran. (ALB) Los monitores LDAP y MSSQL no se migran. El monitor de DNS se migra si ALB tiene una licencia empresarial, pero no si tiene una licencia básica.
Reglas de aplicación	No	NSX-V utiliza reglas de aplicación basadas en HAProxy para admitir L7. En NSX-T, las reglas se basan en NGINX. Las reglas de aplicación no se pueden migrar. Debe crear nuevas reglas después de la migración.
Rango de puertos del servidor virtual L7	(NLB) No (ALB) Sí
IPv6	No	Si se utiliza IPv6 en el servidor virtual, este se ignorará por completo. Si se utiliza IPv6 en el grupo, este se migrará, pero el miembro del grupo relacionado se eliminará.
URL, URI, algoritmos de HTTPHEADER	Consulte los detalles.	(NLB) Los grupos con estos algoritmos no se migran. (ALB) Se admite si ALB tiene una licencia empresarial. Con una licencia básica, se le proporcionarán comentarios para seleccionar un algoritmo diferente.
Grupo aislado	No
Miembro de grupo de LB con un puerto de monitor diferente	Consulte los detalles.	(NLB) El miembro del grupo que tenga un puerto de monitor diferente no se migrará. (ALB) El miembro del grupo se migra, pero no estará en la configuración del puerto de supervisión.
MinConn de miembro de grupo	No
Extensión del monitor	No
Tabla/persistencia de sessionID de SSL	(NLB) No (ALB) Sí
Tabla de sesión/persistencia de MSRDP	No
Tabla de sesión/sesión de aplicación de cookies	(NLB) No (ALB) Sí
Persistencia de aplicaciones	(NLB) No (ALB) Sí
Supervisar para: Explicit escape Quit Delay	No
Supervisar para: Enviar Expect Timeout Interval maxRetries	Sí
Ajuste de HAProxy/ajuste de IPVS	No
Filtro de IP de grupo Direcciones IPv4	Sí	Se admiten direcciones IP IPv4. Si se usa "Any", solo se migrarán las direcciones IPv4 del grupo de direcciones IP.
Filtro de IP de grupo Direcciones IPv6	No
Grupo que contiene un objeto de agrupación no admitido: Clúster Centro de datos Grupo de puertos distribuidos Conjunto de direcciones MAC Aplicación virtual	No	Si un grupo incluye un objeto de agrupamiento no admitido, estos objetos se ignorarán y el grupo se creará con miembros de objetos de agrupamiento compatibles. Si no hay miembros de objetos de agrupamiento compatibles, se creará un grupo vacío.

DHCP y DNS

Tabla 1. Topologías de configuración DHCP
Configuración de NSX-V	Compatible	Detalles
Retransmisión de DHCP configurada en un enrutador lógico distribuido que redirige a un servidor DHCP configurado en una puerta de enlace de servicios Edge conectada directamente	Sí	La dirección IP del servidor de retransmisión DHCP debe ser una de las direcciones IP de la interfaz interna de la puerta de enlace de servicios Edge. El servidor DHCP debe estar configurado en una puerta de enlace de servicios Edge que esté conectada directamente al enrutador lógico distribuido configurado con la retransmisión DHCP. No se admite el uso de DNAT para traducir una dirección IP de retransmisión DHCP que no coincida con una interfaz interna de la puerta de enlace de servicios Edge.
Retransmisión de DHCP configurada solo en un enrutador lógico distribuido, sin configuración del servidor DHCP en la puerta de enlace de servicios Edge conectados	No
Servidor DHCP configurado solo en la puerta de enlace de servicios Edge, sin configuración de retransmisión de DHCP en el enrutador lógico distribuido conectado	No

Tabla 2. Funciones de DHCP
Configuración de NSX-V	Compatible	Detalles
Grupos de direcciones IP	Sí
Enlaces estáticos	Sí
Concesiones DHCP	Sí
Opciones generales de DHCP	Sí
Deshabilitar servicio DHCP	No	En NSX-T, no se puede deshabilitar el servicio DHCP. Si hay un servicio DHCP deshabilitado en NSX-V, este no se migrará.
Opción de DHCP: "other"	No	El campo "other" de las opciones de DHCP no se admite en las migraciones. Por ejemplo, la opción de DHCP '80' no se migrará. <dhcpOptions> <other> <code>80</code> <value>2f766172</value> </other> </dhcpOptions>
Enlaces/grupos de IP huérfanas	No	Si los enlaces estáticos o grupos de direcciones IP están configurados en un servidor DHCP, pero no los utiliza ningún conmutador lógico conectado, estos objetos se omitirán de la migración.
DHCP configurado en la puerta de enlace del servicios Edge con conmutadores lógicos conectados directamente	No	Durante la migración, las interfaces de puerta de enlace de servicios Edge conectadas directamente se migrarán como puertos de servicio centralizados. Sin embargo, NSX-T no admite el servicio DHCP en un puerto de servicio centralizado, por lo que no se migrará la configuración del servicio DHCP para estas interfaces.

Tabla 3. Características de DNS
Configuración de NSX-V	Compatible	Detalles
Vistas de DNS	Sí	Solo se migrará el primer dnsView a la zona del reenviador de DNS predeterminado de NSX-T.
Configuración de DNS	Sí	Debe proporcionar las IP de escucha de DNS disponibles para todos los nodos de Edge. Se mostrará un mensaje durante la resolución de la configuración solicitando que introduzca esta información.
DNS – VPN L3	Sí	Debe agregar las IP del agente de escucha DNS de NSX-T configuradas recientemente en la lista de prefijos VPN L3 remotos. Se mostrará un mensaje durante la resolución de la configuración solicitando que introduzca esta información.
DNS configurado en la puerta de enlace del servicios Edge con conmutadores lógicos conectados directamente	No	Durante la migración, las interfaces de puerta de enlace de servicios Edge conectadas directamente se migrarán como puertos de servicio centralizados. Sin embargo, NSX-T no admite el servicio DNS en un puerto de servicio centralizado, por lo que no se migrará la configuración del servicio DNS para estas interfaces.

Distributed Firewall (DFW)


Configuración de NSX-V	Compatible	Detalles
Firewall de identidad	Sí
Sección - Nombre Descripción TCP estricto Firewall sin estado	Sí	Si una sección de firewall tiene más de 1000 reglas, el migrador migrará las reglas en varias secciones de reglas de 1000 cada una.
Secciones universales	Sí, si la implementación de NSX-V tiene una instancia de NSX Manager en modo principal y ninguna instancia secundaria de NSX Manager.
Regla - Origen/destino: Dirección IP/rango/CIDR Puerto lógico Conmutador lógico	Sí
Regla - Origen/destino: VM Puerto lógico Grupo de seguridad/conjunto de direcciones IP/conjunto de direcciones MAC	Sí	asigna a un grupo de seguridad
Regla - Origen/destino: Clúster Centro de datos DVPG vSS Host	No
Regla - Origen/destino: Conmutador lógico universal	Sí, si la implementación de NSX-V tiene una instancia de NSX Manager en modo principal y ninguna instancia secundaria de NSX Manager.
Regla - Origen/destino: Máquinas virtuales en hosts de NSX-V	No	NSX-T no admite la referencia a objetos no conectados a grupos de puertos o redes de NSX-T. Esos objetos se perderán del origen o del destino cuando se complete la migración. Para evitar este problema, utilice las direcciones IP de NSX-V para hacer referencia a esos objetos antes de la migración.
Regla - Se aplica a: ANY	Sí	se asigna a firewall distribuido
Regla - Se aplica a: Grupo de seguridad Puerto lógico Conmutador lógico VM	Sí	asigna a un grupo de seguridad
Regla - Se aplica a: Clúster Centro de datos DVPG vSS Host	No
Regla - Se aplica a: Conmutador lógico universal	No Sí, si la implementación de NSX-V tiene una instancia de NSX Manager en modo principal y ninguna instancia secundaria de NSX Manager.
Reglas deshabilitadas en el firewall distribuido	Sí
Deshabilitar el firewall distribuido en un nivel de clúster	No	Cuando el firewall distribuido está habilitado en NSX-T, se habilitará en todos los clústeres. No se puede habilitar en algunos clústeres y deshabilitarse en otros.
Lista de exclusiones de DFW	No	Las listas de exclusión de DFW no se migran. Debe volver a crearlas en NSX-T después de la migración.

Servicios de partners: Introspección de red de este a oeste


Configuración de NSX-V	Compatible	Detalles
Servicio	No	El registro de servicio no se migra. El partner debe registrar el servicio con NSX-T antes de la migración.
Plantilla de proveedor	No	La plantilla de proveedor no se migra. El partner debe registrar la plantilla del proveedor con NSX-T antes de la migración.
Perfil de servicio	No	Los perfiles de servicio no se migran. Tanto usted como el partner deben crear los perfiles de servicio antes de la migración. En el paso Resolver configuración de la migración, se le solicitará que asigne cada perfil de servicio de NSX-V a un perfil de servicio de NSX-T. Si omite la asignación de perfiles de servicio, las reglas que usan estos perfiles de servicio no se migrarán. Se creará una cadena de servicios en NSX-T para cada perfil de servicio en NSX-V. La cadena de servicios se crea con la siguiente Convención de nomenclatura: Service-Chain-`nombre_perfil_servicio` El mismo perfil de servicio se utiliza en la ruta directa y la ruta inversa de la cadena de servicios.
Instancia de servicio	No	Las máquinas virtuales de servicio de partners (SVM) no se migran. Las SVM de partner de NSX-V no se pueden utilizar en NSX-T. Para el servicio de introspección de red de este a oeste en NSX-T, las máquinas virtuales del servicio de partners deben implementarse en un segmento de superposición.
Sección Nombre ID Descripción TCP estricto Firewall sin estado	Sí	Una sección se asigna a una directiva de redireccionamiento. El identificador está definido por el usuario y no se genera automáticamente en NSX-T. Si una sección de firewall de NSX-V tiene más de 1000 reglas, las reglas se migrarán en varias secciones de 1000 reglas cada una. Por ejemplo, si una sección contiene 2500 reglas, se crearán tres directivas: la directiva 1 con 1000 reglas, la directiva 2 con 1000 reglas y la directiva 3 con 500 reglas. Las reglas de firewall con estado o sin estado de NSX-V se migran a reglas de redireccionamiento con estado o sin estado en NSX-T.
Servicios de partners: Reglas
Nombre	Sí
Identificador de regla	Sí	El identificador de regla es generado por el sistema. Puede ser diferente del identificador de regla de NSX-V.
Negar origen	Sí
Negar destino	Sí
Origen/Destino VM Grupo de seguridad Conjunto de direcciones IP vNIC	Sí
Servicios/grupos de servicios	Sí	Para obtener más información, consulte la tabla Servicios y Grupos de servicios.
Configuración avanzada Dirección Tipo de paquete Etiqueta de regla Comentarios Registrar	Sí
Perfil de servicio y acción Nombre del servicio Perfil de servicio Acción Enlaces de perfil de servicio	Sí	Un enlace de perfil de servicio puede tener grupos de puertos virtuales distribuidos (DVPG), conmutadores lógicos y grupos de seguridad como miembros. Un enlace de perfil de servicio en NSX-V se asigna al campo Se aplica a de una regla de redireccionamiento de NSX-T. El campo Se aplica a solo acepta grupos, y este campo determina el ámbito de la regla. En NSX-T, el redireccionamiento de reglas se encuentra en el nivel de una directiva. Todas las reglas de una directiva de redireccionamiento tienen el mismo ámbito (Se aplica a). El campo Se aplica a de una regla de redireccionamiento de NSX-T puede tener un máximo de 128 miembros. Si el número de miembros de un enlace de perfil de servicio supera los 128, redúzcalos a 128 como máximo antes de iniciar la migración. Por ejemplo, supongamos que un enlace de perfil de servicio tiene 140 miembros (grupos de seguridad). Siga los pasos que se indican a continuación en NSX-V antes de iniciar la migración: Crear un grupo de seguridad ficticio Mueva 13 grupos de seguridad a este grupo de seguridad ficticio. En otras palabras, el grupo de seguridad ficticio tiene 13 miembros. Elimine el enlace de estos 13 grupos de seguridad del perfil de servicio. Ahora tiene 127 miembros en el enlace de perfil de servicio (140-13). Agregue el grupo de seguridad ficticio al enlace de perfil de servicio. Ahora, el número total de miembros en el enlace de perfil de servicio es 128 (127 + 1).
Habilitar o deshabilitar regla	Sí

Segmento de servicio: Se creará un segmento de servicio en la zona de transporte superpuesta que seleccionó en el paso Resolver configuración de la migración. En el entorno de NSX-V, si la zona de transporte de VXLAN no está preparada con NSX-V, tendrá la opción de seleccionar la zona de transporte de superposición predeterminada en NSX-T para crear el segmento de servicio. Si una o varias zonas de transporte de VXLAN están preparadas con NSX-V, deberá seleccionar una zona de transporte superpuesta para crear el segmento de servicio en NSX-T.

Prioridad de perfil de servicio: En NSX-V, cada perfil de servicio tiene una prioridad. Si un servicio tiene varios perfiles de servicio y hay varios perfiles enlazados a la misma vNIC, el perfil de servicio con una prioridad más alta se aplicará primero en la vNIC. Sin embargo, en NSX-T, los perfiles de servicio no tienen ninguna prioridad. Cuando se aplican varias reglas de redireccionamiento a la configuración, el orden de las reglas decide qué regla se aplica primero. En otras palabras, las reglas con una prioridad de perfil más alta se colocarán antes que las reglas con una prioridad de perfil más baja en la tabla de reglas de NSX-T. Para obtener un ejemplo detallado, consulte el escenario 2 en Orden de las reglas de introspección de red migradas en NSX-T.

Prioridad de servicio

Para redirigir el tráfico a varios servicios, NSX-V usa varias ranuras de DVFilter en la ruta de datos de inserción de servicios. Se utiliza una ranura de DVFilter para redireccionar el tráfico a un servicio. Un servicio con prioridad alta se colocará más arriba en la ranura en comparación con un servicio con una prioridad más baja. En NSX-T, se utiliza una sola ranura de DVFilter y se redirecciona el tráfico a una cadena de servicios. Después de la migración a NSX-T, las reglas que usan un servicio de partners con prioridad más alta se colocan antes que las reglas que usan un servicio de partners con una prioridad más baja. Para obtener un ejemplo detallado, consulte el escenario 3 en Orden de las reglas de introspección de red migradas en NSX-T.

No se admite el redireccionamiento del tráfico en una vNIC a varios servicios de partners. Solo se admite el redireccionamiento a un servicio de partners. A pesar de que todas las reglas de NSX-V se migran a NSX-T, las configuraciones de reglas migradas usan una cadena de servicios con un solo perfil de servicio. No se puede modificar una cadena de servicios existente que se utiliza en las reglas de redireccionamiento.

Solución alternativa: Para redirigir el tráfico de una vNIC a varios servicios, cree una nueva cadena de servicios y defina el orden de los perfiles de servicio en la cadena de servicios. Actualice las reglas migradas para utilizar esta nueva cadena de servicios.

Servicio de introspección de red en las máquinas virtuales conectadas a una red de máquina virtual: En el entorno de NSX-V, si las reglas de servicio de introspección de red se ejecutan en máquinas virtuales que están conectadas a una red de máquinas virtuales, estas máquinas virtuales pierden la protección de seguridad después de la migración del host. Para garantizar que las reglas de introspección de red se apliquen en la VNIC de estas máquinas virtuales después de la migración de hosts, debe conectar estas máquinas virtuales a un segmento de NSX-T.

Objetos de agrupamiento y Service Composer

Los conjuntos de direcciones IP y MAC se migran a NSX-T como grupos. Consulte Grupos de > inventario en la interfaz web de NSX-T Manager.

Tabla 4. Conjuntos de direcciones IP y MAC
Configuración de NSX-V	Compatible	Detalles
Conjuntos de direcciones IP	Sí	Los conjuntos de direcciones IP con un máximo de 2 millones de miembros (direcciones IP, subredes de direcciones IP y rangos de IP) se pueden migrar. Sin embargo, los conjuntos de direcciones IP con más miembros no se pueden migrar.
Conjuntos de direcciones MAC	Sí	Los conjuntos de direcciones MAC con un máximo de 2 millones de miembros se pueden migrar. Sin embargo, los conjuntos de direcciones MAC con más miembros no se pueden migrar.

Los grupos de seguridad son compatibles para la migración con las limitaciones especificadas. Los grupos de seguridad se migran a NSX-T como grupos. Consulte Grupos de > inventario en la interfaz web de NSX-T Manager.

NSX-V tiene grupos de seguridad definidos por el sistema y definidos por el usuario. Todos se migran a NSX-T como grupos definidos por el usuario.

Es posible que el número total de "grupos" después de la migración no sea igual al número de grupos de seguridad en NSX-V. Por ejemplo, una regla de firewall distribuido que contenga una máquina virtual como su origen, se migrará a una regla que contenga un grupo nuevo con la máquina virtual como miembro. Esto aumentará el número total de grupos en NSX-T después de la migración.

Tabla 5. Grupos de seguridad
Configuración de NSX-V	Compatible	Detalles
Grupo de seguridad con miembros que no existen	No	Si alguno de los miembros del grupo de seguridad no existe, no se migrará el grupo de seguridad.
Grupo de seguridad que contiene un grupo de seguridad con miembros no admitidos	No	Si no se admite la migración de algún miembro del grupo de seguridad, no se migrará el grupo de seguridad. Si un grupo de seguridad contiene un grupo de seguridad con miembros no admitidos, el grupo de seguridad principal no se migrará.
Excluir pertenencia al grupo de seguridad	No	Los grupos de seguridad con un miembro excluido directa o indirectamente (mediante anidamiento), no se migrarán
Miembro estático de grupo de seguridad	Sí	Un grupo de seguridad puede contener hasta 500 miembros estáticos. Sin embargo, los miembros estáticos generados por el sistema se agregarán si el grupo de seguridad se utiliza en las reglas de firewall distribuido, lo que reducirá el límite efectivo a 499 o 498. Si el grupo de seguridad se utiliza en las reglas de capa 2 o 3, se agregará un miembro estático generado por el sistema al grupo de seguridad. Si el grupo de seguridad se utiliza en las reglas de capa 2 y 3, se agregarán dos miembros estáticos generados por el sistema. Si no existe ningún miembro durante el paso Resolver configuración, no se migrará el grupo de seguridad.
Tipos de miembros del grupo de seguridad (Estático o Entidad pertenece a): Clúster Centro de datos Grupo de directorios Grupo de puertos distribuidos Redes/Grupo de puertos heredados Grupo de recursos vApp	No	Si un grupo de seguridad contiene alguno de los tipos de miembro no admitidos, el grupo de seguridad no se migrará.
Tipos de miembros del grupo de seguridad (Estático o Entidad pertenece a): Grupo de seguridad Conjuntos de direcciones IP Conjuntos de direcciones MAC	Sí	Los grupos de seguridad y los conjuntos de direcciones IP y MAC se migran a NSX-T como grupos. Si un grupo de seguridad de NSX-V contiene un conjunto de direcciones IP, un conjunto de direcciones MAC o un grupo de seguridad anidado como miembro estático, los grupos correspondientes se agregarán al grupo principal. Si uno de estos miembros estáticos no se migró a NSX-T, el grupo de seguridad principal no se migrará a NSX-T. Por ejemplo, un conjunto de direcciones IP con más de 2 millones miembros no puede migrar a NSX-T. Por lo tanto, un grupo de seguridad que contenga un conjunto de direcciones IP con más de 2 millones miembros no se puede migrar.
Tipos de miembros del grupo de seguridad (Estático o Entidad pertenece a): Conmutador lógico (conexión virtual)	Sí	Si un grupo de seguridad contiene conmutadores lógicos que no se migran a segmentos de NSX-T, el grupo de seguridad no se migrará a NSX-T.
Tipos de miembros del grupo de seguridad (Estático o Entidad pertenece a): Etiqueta de seguridad	Sí	Si se agrega una etiqueta de seguridad al grupo de seguridad como miembro estático o dinámico que utiliza Entidad pertenece a, debe existir la etiqueta de seguridad para que se migre el grupo de seguridad. Si la etiqueta de seguridad se agrega al grupo de seguridad como miembro dinámico (sin usar Entidad pertenece a), no se comprobará la existencia de la etiqueta de seguridad antes de migrar el grupo de seguridad.
Tipos de miembros del grupo de seguridad (Estático o Entidad pertenece a): vNIC Máquina virtual	Sí	Las vNIC y las máquinas virtuales se migran como ExternalIDExpression. Las máquinas virtuales huérfanas (las máquinas virtuales eliminadas de los hosts) se ignoran durante la migración del grupo de seguridad. Una vez que los grupos aparezcan en NSX-T, las pertenencias a máquinas virtuales y vNIC se actualizarán después de un tiempo. Durante este tiempo intermedio, puede haber grupos temporales, y sus grupos temporales pueden aparecer como miembros. Sin embargo, una vez que la migración del host haya finalizado, estos grupos temporales adicionales se dejarán de ver.
Utilizar el operador "Coincide con expresión regular" para la pertenencia dinámica	No	Esto solo afecta a la etiqueta de seguridad y al nombre de la máquina virtual. El operador "Coincide con expresión regular" no está disponible para otros atributos.
Uso de otros operadores disponibles para los criterios dinámicos de pertenencia para atributos: Etiqueta de seguridad Nombre de máquina virtual Nombre del equipo Nombre del sistema operativo del equipo	Sí	Los operadores disponibles para el nombre de la máquina virtual, el nombre del equipo y el nombre del sistema operativo del equipo son Contiene, Termina con, Es igual a, No es igual a y Empieza por. Los operadores disponibles para la etiqueta de seguridad son Contiene, Termina con, Es igual a y Empieza por.
Criterio Entidad pertenece a	Sí	Para el criterio Entidad pertenece a, se aplican las mismas limitaciones que para migrar miembros estáticos. Por ejemplo, si tiene un grupo de seguridad que usa Entidad que pertenece a un clúster en la definición, el grupo de seguridad no se migrará. Los grupos de seguridad que contengan el criterio Entidad pertenecen a y estén combinados con AND no se migrarán.
Operadores de criterios dinámicos de pertenencia (AND, OR) en el grupo de seguridad	Sí.	Al definir la pertenencia dinámica a un grupo de seguridad de NSX-V, puede configurar lo siguiente: Uno o varios conjuntos dinámicos. Cada conjunto dinámico puede contener uno o varios criterios dinámicos. Por ejemplo, "El nombre de la máquina virtual contiene web". Puede seleccionar si desea encontrar coincidencias con cualquiera de los criterios dinámicos de un conjunto dinámico o con todos ellos. Puede seleccionar si desea encontrar coincidencias con AND o OR en todos los conjuntos dinámicos. NSX-V no limita el número de criterios dinámicos o conjuntos dinámicos, y puede incluir combinaciones de AND y OR. En NSX-T, puede tener un grupo con cinco expresiones. Los grupos de seguridad de NSX-V que contengan más de cinco expresiones no se migrarán. Ejemplos de grupos de seguridad que se pueden migrar: Hasta 5 conjuntos dinámicos relacionados con OR donde cada conjunto dinámico contiene hasta 5 criterios dinámicos relacionados con AND (todos en NSX-V). 1 conjunto dinámico que contiene 5 criterios dinámicos relacionados con OR (cualquiera en NSX-V). 1 conjunto dinámico que contiene 5 criterios dinámicos relacionados con AND (todos en NSX-V). Todos los miembros deben ser del mismo tipo. 5 conjuntos dinámicos relacionados con AND y cada conjunto dinámico con exactamente 1 criterio dinámico. Todos los miembros deben ser del mismo tipo. No se admite el uso de los criterios "Entidad pertenece a" con operadores AND. Las demás combinaciones o definiciones de un grupo de seguridad que contengan escenarios no admitidos no se migrarán.

En NSX-V, las etiquetas de seguridad son objetos que se pueden aplicar a las máquinas virtuales. Cuando se migran a NSX-T, las etiquetas de seguridad son atributos de una máquina virtual.

Tabla 6. Etiquetas de seguridad
Configuración de NSX-V	Compatible	Detalles
Etiquetas de seguridad	Sí	Si una máquina virtual tiene 25 etiquetas de seguridad o menos aplicadas, se admite la migración de etiquetas de seguridad. Si se aplican más de 25 etiquetas de seguridad, no se migrará ninguna etiqueta. Nota: Si no se migran etiquetas de seguridad, la máquina virtual no se incluye en ninguno de los grupos definidos por la pertenencia a etiquetas. Las etiquetas de seguridad que no se aplican a ninguna máquina virtual no se migran.

Los servicios y los grupos de servicios se migran a NSX-T como servicios. Consulte Inventario > Servicios en la interfaz web de NSX-T Manager.

Tabla 7. Servicios y grupos de servicios
Configuración de NSX-V	Compatible	Detalles
Servicios y grupos de servicios (aplicaciones y grupos de aplicaciones)	Sí	La mayoría de los grupos de servicios y servicios predeterminados se asignan a los servicios de NSX-T. Si algún servicio o grupo de servicios no está presente en NSX-T, se creará un nuevo servicio en NSX-T.
Grupos de servicios APP_ALL y APP_POP2	No	Estos grupos de servicios definidos por el sistema no se migran.
Servicios y grupos de servicios con conflictos de nomenclatura	Sí	Si se identifica un conflicto de nombres en NSX-T para un servicio o grupo de servicios modificados, se creará un nuevo servicio en NSX-T con un nombre en formato: <NSXv-Nombre-Aplicación> migrado desde NSX-V
Grupos de servicios que combinan servicios de capa 2 con servicios de otras capas	No
Grupos de servicios vacíos	No	NSX-T no admite servicios vacíos.
Servicios de capa 2	Sí	Los servicios de capa 2 de NSX-V se migran como la entrada de servicio EtherTypeServiceEntry de NSX-T.
Servicios de capa 3	Sí	Según el protocolo, los servicios de capa 3 de NSX-V se migran a la entrada de servicio NSX-T de la siguiente forma: Protocolo TCP/UDP: L4PortSetServiceEntry Protocolo ICMP/IPV6ICMP: ICMPTypeServiceEntry Protocolo IGMP: IGMPTypeServiceEntry Otros protocolos: IPProtocolServiceEntry
Servicios de capa 4	Sí	Migrado como servicio de entrada ALGTypeServiceEntry de NSX-T.
Servicios de capa 7	Sí	Migrado como servicio de entrada PolicyContextProfile de NSX-T Si una aplicación de NSX-V de capa 7 tiene un puerto y un protocolo definidos, se creará un servicio en NSX-T con la configuración adecuada de protocolo y puerto, y se asignará a PolicyContextProfile.
Grupos de servicios de capa 7	No
Firewall distribuido, firewall de Edge o reglas NAT que contienen el puerto y el protocolo	Sí	NSX-T requiere un servicio para crear estas reglas. Si existe un servicio adecuado, se utilizará. Si no existe ningún servicio adecuado, se creará un servicio mediante el puerto y el protocolo especificados en la regla.

Tabla 8. Service Composer
Configuración de NSX-V	Compatible	Detalles
Políticas de seguridad de Service Composer	Sí	Las reglas de firewall definidas en una directiva de seguridad se migrarán a NSX-T como reglas de firewall distribuido. Las reglas de firewall deshabilitadas definidas en una directiva de seguridad de Service Composer no se migrarán. Las reglas de Guest Introspection o introspección de red definidas en una directiva de seguridad de Service Composer se migrarán. Si el estado de Service Composer no está sincronizado, el paso Resolver configuración mostrará una advertencia. Puede omitir la migración de las directivas de Service Composer omitiendo las secciones Network Introspection del firewall distribuido. De forma alternativa, puede revertir la migración, obtener Service Composer en sincronización con el firewall distribuido y reiniciar la migración.
Las directivas de seguridad de Service Composer no se aplican a ningún grupo de seguridad	No

Configuración de servidor de Active Directory


Configuración	Compatible	Detalles
Servidor de Active Directory (AD)	No