NSX-T Data Center admite IPsec VPN y VPN de Capa 2 (L2VPN) en NSX Edge.

Nota: IPsec VPN y VPN de Capa 2 no se admiten en la versión de exportación limitada de NSX-T Data Center.

IPsec VPN

IPsec VPN protege el tráfico que fluye entre dos redes conectadas mediante una red pública a través de puertas de enlace de IPsec llamadas endpoints. NSX Edge solo admite un modo de túnel que utiliza el túnel IP con carga de seguridad encapsuladora (Encapsulating Security Payload, ESP).

IPsec VPN utiliza el protocolo IKE para negociar los parámetros de seguridad. El puerto UDP predeterminado se establece como 500. Si se detecta NAT en la puerta de enlace, el puerto se establece como 4500.

Nota: IPsec VPN solo se admite en el enrutador lógico de nivel 0.

NSX Edge admite dos tipos de VPN: VPN basada en directiva y VPN basada en ruta.

La VPN basada en directiva requiere la aplicación de una directiva en los paquetes reenviados al servicio de IPsec. Este tipo de VPN se considera estático porque cuando se cambian la topología de la red y la configuración, se debe actualizar la configuración de directiva para adaptarse a los cambios.

La VPN basada en rutas proporciona el túnel para el tráfico basado en rutas aprendidas de forma dinámica en una interfaz especial denominada interfaz de túnel virtual (Virtual Tunnel Interface, VTI) que utiliza, por ejemplo, BGP como protocolo. IPsec protege todo el tráfico que circula a través de la VTI.

L2VPN

La conectividad L2VPN permite ampliar las redes de Capa 2 de un centro de datos local a la nube, como VMware Cloud on Amazon (VMC). Esta conexión se protege mediante el túnel de IPsec basado en ruta.

La red ampliada es una subred única con un solo dominio de difusión, por lo que se pueden migrar máquinas virtuales entre el centro de datos local y la nube pública sin tener que cambiar las direcciones IP.

Además de admitir la migración en el centro de datos, una red local ampliada con VPN de capa 2 es útil para la recuperación ante desastres y para usar de forma dinámica recursos informáticos externos con el fin de cubrir un aumento en la demanda (conocido como ampliación en la nube).

Cada sesión de L2VPN tiene un túnel GRE. No se admite la redundancia de túnel. Una sesión de L2VPN se puede ampliar hasta 4094 redes de Capa 2.

Nota: L2VPN es compatible entre NSX-T Data Center y una instancia de NSX Edge, que no está administrado o está administrado en NSX Data Center for vSphere.