NSX Edge prend en charge l'établissement d'un réseau privé virtuel VPN IPSec entre une instance NSX Edge et des sites distants. Le tunnel VPN IPSec est constitué de deux extrémités. Le tunnel doit être cohérent des deux côtés, y compris en matière de sous-réseaux IP et de norme de chiffrement.
Les ports suivants doivent être ouverts sur tous les composants du tunnel VPN IPSec :
- Port 500. Ce port est utilisé lorsqu'il n'existe aucun périphérique NAT entre les points de terminaison.
- Port 4500. Ce port est utilisé lorsqu'il existe un périphérique NAT entre les points de terminaison.
Assurez-vous que les règles de pare-feu autorisent les paquets ESP (Encapsulating Security Payload).
Certains des problèmes courants de mauvaise configuration pouvant provoquer l'échec d'un tunnel IPSec sont les suivants :
- Les paramètres de configuration du MTU sur le commutateur vSphere Distributed Switch sont trop bas. Une configuration de MTU basse provoque une fragmentation des paquets et entraîne l'échec de la création du tunnel.
- Certaines solutions VPN tierces proposent un mode de négociation agressif. NSX Data Center for vSphere prend en charge uniquement le mode de négociation standard (mode principal).
- Les machines virtuelles sont configurées pour la communication IPv6 via le tunnel VPN IPSec. À l'heure actuelle, NSX Data Center for vSphere ne prend pas en charge IPv6.