La VPN de protocolo de seguridad de Internet (Internet Protocol Security, IPSec) protege el tráfico que fluye entre dos redes conectadas mediante una red pública a través de puertas de enlace de IPSec llamadas endpoints. NSX Edge solo admite un modo de túnel que utiliza el túnel IP con carga de seguridad encapsuladora (Encapsulating Security Payload, ESP). ESP funciona directamente en la parte superior de la IP usando el número de protocolo de IP 50.

IPsec VPN utiliza el protocolo IKE para negociar los parámetros de seguridad. El puerto UDP predeterminado se establece como 500. Si se detecta NAT en la puerta de enlace, el puerto se establece como UDP 4500.

NSX Edge admite una VPN de IPSec basada en directivas o basada en rutas.

El servicio VPN de IPSec es compatible con las puertas de enlace de nivel 0, VRF de nivel 0 y nivel 1. Consulte Agregar una puerta de enlace de nivel 0 de NSX o Agregar una puerta de enlace de nivel 1 de NSX para obtener más información. La puerta de enlace de nivel 0 o de nivel 1 debe estar en modo de alta disponibilidad Active-Standby cuando se utiliza para un servicio de VPN de IPSec. Puede utilizar segmentos conectados a puertas de enlace de nivel 0, VRF de nivel 0 o nivel 1 al configurar un servicio de VPN de IPSec.

Un servicio de VPN de IPSec en NSX usa la función de conmutación por error de nivel de puerta de enlace para admitir un servicio de alta disponibilidad en el nivel de servicio de VPN. Se restablecen los túneles en la conmutación por error y se sincronizan los datos de configuración de VPN. El estado de la VPN de IPSec se sincroniza con el nodo de NSX Edge en espera cuando falla el nodo de NSX Edge activo y el nodo de NSX Edge en espera original se convierte en el nuevo nodo de NSX Edge activo sin renegociar los túneles. Esta función es compatible con servicios de VPN de IPSec basados en rutas y basados en directivas.