Internet 协议安全性 (IPSec) VPN 可以保护经 IPSec 网关(称为端点)在通过公共网络连接的两个网络之间流动的流量。NSX Edge 仅支持隧道模式,该模式将 IP 隧道与封装安全负载 (Encapsulating Security Payload, ESP) 结合使用。ESP 使用 IP 协议号 50 直接在 IP 顶层运行。

IPSec VPN 使用 IKE 协议来协商安全参数。默认 UDP 端口设置为 500。如果在网关中检测到 NAT,则该端口设置为 UDP 4500。

NSX Edge 支持基于策略或基于路由的 IPSec VPN。

NSX-T Data Center 2.5 开始,在 Tier-0 和 Tier-1 网关上都支持 IPSec VPN 服务。有关详细信息,请参见添加 Tier-0 网关添加 Tier-1 网关。在用于 IPSec VPN 服务时,Tier-0 或 Tier-1 网关必须处于 Active-Standby 高可用性模式。可以使用在配置 IPSec VPN 服务时连接到 Tier-0 或 Tier-1 网关的分段。

NSX-T Data Center 中的 IPSec VPN 服务使用网关级别的故障切换功能,以支持 VPN 服务级别的高可用性服务。故障切换时将重新建立隧道并同步 VPN 配置数据。 在 NSX-T Data Center 3.0 版本之前,重新建立隧道时不会同步 IPSec VPN 状态。从 NSX-T Data Center 3.0 版本开始,如果当前活动的 NSX Edge 节点出现故障,并且原始备用 NSX Edge 节点成为新的活动 NSX Edge 节点,则 IPSec VPN 状态会同步到备用 NSX Edge 节点,而不重新协商隧道。基于策略和基于路由的 IPSec VPN 服务均支持此功能。

NSX Edge 节点和远程 VPN 站点之间支持预共享密钥模式身份验证和 IP 单播流量。此外,从 NSX-T Data Center 2.4 开始,还支持证书身份验证。仅支持通过以下签名哈希算法之一签名的证书类型。
  • SHA256withRSA
  • SHA384withRSA
  • SHA512withRSA