IPSec-VPNs (Internet Protocol Security) sichern den Datenverkehr zwischen zwei Netzwerken, die über ein öffentliches Netzwerk durch IPSec-Gateways, sogenannte Endpoints, verbunden sind. NSX Edge unterstützt nur einen Tunnelmodus, der IP-Tunneling mit Encapsulating Security Payload (ESP) verwendet. ESP wird direkt auf der IP-Adresse mit der IP-Protokollnummer 50 ausgeführt.

IPSec-VPNs verwenden das IKE-Protokoll zum Aushandeln der Sicherheitsparameter. Der Standard-UDP-Port ist auf 500 festgelegt. Wenn NAT im Gateway erkannt wird, wird der Port auf UDP 4500 festgelegt.

NSX Edge unterstützt ein Richtlinien- oder ein Routen-basiertes IPSec-VPN.

Der IPSec-VPN-Dienst wird auf Tier-0-, Tier-0-VRF- und Tier-1-Gateways unterstützt. Weitere Informationen hierzu finden Sie unter Hinzufügen eines NSX Tier-0-Gateways oder Hinzufügen eines NSX-Tier-1-Gateways. Das Tier-0- oder Tier-1-Gateway muss sich im Active-Standby-Hochverfügbarkeitsmodus befinden, wenn es für einen IPSec-VPN-Dienst verwendet wird. Sie können Segmente verwenden, die mit Tier-0-, Tier-0-VRF- oder Tier-1-Gateways verbunden sind, wenn Sie einen IPSec-VPN-Dienst konfigurieren.

Der IPsec-VPN-Dienst in NSX nutzt die Failover-Funktionalität auf Gateway-Ebene, um einen Hochverfügbarkeitsdienst auf Ebene des VPN-Diensts zu unterstützen. Tunnel werden bei einem Failover neu eingerichtet und VPN-Konfigurationsdaten werden synchronisiert. Der IPSec-VPN-Zustand wird mit dem NSX Edge-Standby-Knoten synchronisiert, wenn der aktuelle aktive NSX Edge-Knoten ausfällt und der ursprüngliche NSX Edge-Standby-Knoten zum neuen aktiven NSX Edge-Knoten wird, ohne dass die Tunnel neu verhandelt werden. Diese Funktion wird sowohl für richtlinienbasierte als auch für routenbasierte IPSec-VPN-Dienste unterstützt.