IPSec-VPNs (Internet Protocol Security) sichern den Datenverkehr zwischen zwei Netzwerken, die über ein öffentliches Netzwerk durch IPSec-Gateways, sogenannte Endpoints, verbunden sind. NSX Edge unterstützt nur einen Tunnelmodus, der IP-Tunneling mit Encapsulating Security Payload (ESP) verwendet. ESP wird direkt auf der IP-Adresse mit der IP-Protokollnummer 50 ausgeführt.

IPSec-VPNs verwenden das IKE-Protokoll zum Aushandeln der Sicherheitsparameter. Der Standard-UDP-Port ist auf 500 festgelegt. Wenn NAT im Gateway erkannt wird, wird der Port auf UDP 4500 festgelegt.

NSX Edge unterstützt ein Richtlinien- oder ein Routen-basiertes IPSec-VPN.

Ab NSX-T Data Center 2.5 werden IPSec-VPN-Dienste sowohl auf Tier-0- als auch auf Tier-1-Gateways unterstützt. Weitere Informationen hierzu finden Sie unter Hinzufügen eines Tier-0-Gateways oder Tier-1-Gateway hinzufügen. Das Tier-0- oder Tier-1-Gateway muss sich im Active-Standby-Hochverfügbarkeitsmodus befinden, wenn es für einen IPSec-VPN-Dienst verwendet wird. Sie können Segmente verwenden, die mit Tier-0- oder Tier-1-Gateways verbunden sind, wenn Sie einen IPSec-VPN-Dienst konfigurieren.

Der IPsec-VPN-Dienst in NSX-T Data Center nutzt die Failover-Funktionalität auf Gateway-Ebene, um einen Hochverfügbarkeitsdienst auf Ebene des VPN-Diensts zu unterstützen. Tunnel werden bei einem Failover neu eingerichtet und VPN-Konfigurationsdaten werden synchronisiert. Vor der NSX-T Data Center-Version 3.0 wurde der Status des IPSec-VPN bei der erneuten Tunnel-Einrichtung nicht synchronisiert. Ab NSX-T Data Center-Version 3.0 wird der IPSec-VPN-Zustand mit dem NSX Edge-Standby-Knoten synchronisiert, wenn der aktuelle aktive NSX Edge-Knoten ausfällt und der ursprüngliche NSX Edge-Standby-Knoten zum neuen aktiven NSX Edge-Knoten wird, ohne dass die Tunnel neu verhandelt werden. Diese Funktion wird sowohl für richtlinienbasierte als auch für routenbasierte IPSec-VPN-Dienste unterstützt.