VCP-NV 认证面向做 NSX 网络虚拟化的工程师 — 如果你的数据中心在用 NSX 做微分段和分布式防火墙,这是必备认证;纯做物理网络或云网络的人不需要。
这张认证到底考什么
先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。
VMware 2V0-71.23 是 VCP-NV(VMware Certified Professional - Network Virtualization)认证的核心考试,基于 NSX 4.x 平台。70 题 / 130 分钟,及格线 300/500,费用 $250 USD。
NSX 是 VMware 的软件定义网络(SDN)产品,核心能力是在 vSphere 集群上创建虚拟网络 — Overlay Transport Zone(基于 Geneve 封装,VM 之间的东西向流量不需要物理交换机参与路由)和 分布式防火墙 DFW(在 ESXi hypervisor 内核层实现微分段,每个 VM 的 vNIC 都有独立防火墙规则,无需流量绕行外部防火墙设备)。
考试六大领域中最重要的两块:T0/T1 Gateway 路由配置(T0 连接物理网络,T1 连接工作负载网段,BGP/OSPF/Static 路由)和 DFW 安全策略(规则处理顺序:Emergency → Infrastructure → Environment → Application → Default,每个类别内按 Section → Rule 顺序执行)。
你会反复碰到的核心服务
学完以后你能带走什么
- 配置 NSX 4.x T0/T1 Gateway 路由(BGP/OSPF)实现南北向与东西向流量管理
- 设计并实施分布式防火墙(DFW)微分段策略和 Context Profile L7 规则
- 规划 NSX Edge 集群 HA、BFD 计时器及 TEP IP 池
- 理解 Overlay 与 VLAN 传输区域差异并正确规划传输节点
考试详情
适合谁考
适合人群
- 网络虚拟化工程师(Network Virtualization Engineer)备考 VCP-NV 认证
- 云网络工程师(Cloud Network Engineer)负责企业 NSX 部署与运维
- 安全架构师(Security Architect)实施零信任微分段安全方案
开始前最好先有
- 扎实的 TCP/IP 网络基础知识(路由、交换、VLAN、BGP/OSPF)
- vSphere 平台管理经验(ESXi 主机、vCenter、vDS)
- 了解 SDN 软件定义网络基本概念和防火墙策略配置
值不值得考?职业价值
VMware 2V0-71.23 持证人的薪资区间、对应岗位、以及真实的职业影响。
NSX 在澳洲的部署集中在大型企业数据中心(金融/政府/电信)。Telstra、ASD、Defence 的零信任网络架构项目大量使用 NSX 微分段。NSX 工程师在澳洲属于稀缺人才,薪资比纯 vSphere 管理员高 20-30%。
VCP-NV 认证是 NSX 项目投标和团队能力评估的标准资质。VMware 合作伙伴的 NSX 团队通常要求工程师持有 VCP-NV。
不适合的人群:做公有云网络(AWS VPC/Azure VNet)的人 — NSX 是私有数据中心的 SDN 方案,和公有云网络是不同技术栈。
备考节奏
有 AWS 实操经验
零基础切入
建议日投入
学习路径预览
3 章分阶段备考路径
过来人总结的分阶段备考节奏,按周拆分,不是空话。
第一阶段:NSX 架构和传输区域(3 周)
理解 NSX Manager(管理平面)、NSX Controller(控制平面,NSX 4.x 内嵌在 Manager 中)、数据平面(ESXi 内核模块 + Edge Node)三层架构。Transport Zone 类型:Overlay(Geneve 封装,跨物理网络的虚拟 L2 域)vs VLAN(直接映射物理 VLAN)。TEP(Tunnel Endpoint)的 IP 规划。用 VMware HOL(免费)做 NSX 基础 Lab。
第二阶段:T0/T1 网关 + DFW(3 周)
Tier-0 Gateway 连接物理网络(BGP/OSPF/Static),Tier-1 Gateway 连接工作负载网段并路由到 T0。Active-Active vs Active-Standby HA 模式的区别。DFW 规则处理顺序和微分段策略设计 — 用 Group(基于 VM tag/IP/Segment)定义安全组,用 Policy 定义 allow/drop/reject 规则。Gateway Firewall(南北向)vs DFW(东西向)的区别。
第三阶段:故障排除 + 模考(2 周)
Edge Node 故障排查(BFD 计时器、HA 切换行为)。NSX Manager CLI 命令(get logical-routers、get firewall rules)。传输节点(Transport Node)状态检查。VMware 官方 Practice Exam + 社区题库模考 2 次。
通过者的真实经验
过来人的备考时长、分数、以及踩过的坑。
DFW 规则处理顺序考了 4-5 道 — Emergency/Infrastructure/Environment/Application/Default 的优先级和 Section 内的 Rule 顺序必须记清楚。T0/T1 的 BGP 配置也出了场景题,问你"T0 收不到 BGP 路由可能的原因"。
有传统网络基础学 NSX 概念不难,但 NSX 的配置方式和 Cisco CLI 完全不同 — 全部通过 NSX Manager Web UI 或 API 完成。最难的是 Overlay 的 Geneve 封装和 TEP 通信故障排查,需要理解二层封装在三层网络上的传输逻辑。
同赛道认证对比
| VMware 2V0-71.23 | VMware 2V0-21.23 | Cisco CCNA | |
|---|---|---|---|
| 机构 | 其他 | 其他 | Cisco |
| 级别 | 助理级 | 助理级 | 助理级 |
| 考试费 | $0 | $0 | $330 |
| 时长 | 90 min | 90 min | 120 min |
| 题量 | 65 | 65 | 100 |
| 有效期 | 3 年 | 3 年 | 3 年 |
备考技巧与常见失误
70 题 130 分钟,约 1.9 分钟/题。DFW 规则匹配题需要按优先级逐条匹配,不要跳步。
NSX 4.x 和 3.x 的界面和概念差异不大,但部分术语变更需要注意(如 Policy Mode vs Manager Mode)。
VMware HOL 是免费的最佳实操环境,NSX 相关 Lab 覆盖了大部分考点。
**T0 和 T1 Gateway 的 HA 模式** — T0 支持 Active-Active(ECMP,BGP 多路径)和 Active-Standby;T1 只支持 Active-Standby(或无 HA)。考试经常问"T1 能不能配 Active-Active",答案是不能。
**DFW 规则的 Applied To 字段** — DFW 规则默认 Applied To = DFW(所有主机),但可以限制到特定 Group。忘记设置 Applied To 可能导致规则意外影响不相关的 VM。
**Overlay vs VLAN Transport Zone 不能混用** — 一个 Segment 只能属于一种 Transport Zone 类型。Overlay Segment 和 VLAN Segment 之间的流量必须经过 T0/T1 Gateway 路由。