NSX-T Data Center prend en charge les VPN IPSec et les VPN de couche 2 (L2VPN) sur NSX Edge.

Note : Les VPN IPSec et L2VPN ne sont pas pris en charge dans la version NSX-T Data Center avec exportation limitée.

VPN IPSec

Un VPN IPSec sécurise le trafic circulant entre deux réseaux connectés via un réseau public par le biais de passerelles IPSec appelées points de terminaison. NSX Edge prend uniquement en charge un mode tunnel qui utilise la mise en tunnel IP avec ESP (Encapsulating Security Payload).

Le VPN IPSec utilise le protocole IKE pour négocier les paramètres de sécurité. Le port UDP par défaut est défini à 500. Si NAT est détectée dans la passerelle, le port est défini sur 4500.

Note : Le VPN IPSec est pris en charge uniquement sur le routeur logique de niveau 0.

NSX Edge prend en charge deux types de VPN, le VPN basé sur des stratégies et le VPN basé sur une route.

Les VPN basés sur des stratégies exigent qu'une stratégie soit appliquée aux paquets transférés au service IPSec. Ce type de VPN est considéré comme statique, car lorsque la topologie et la configuration du réseau local changent, les paramètres de stratégie doivent également être mis à jour pour prendre en charge les modifications.

Un VPN basé sur une route fournit un tunnel sur le trafic en fonction des itinéraires appris dynamiquement sur une interface spéciale appelée interface de tunnel virtuel (VTI) qui utilise BGP, par exemple, comme protocole. IPSec sécurise tout le trafic circulant à travers l'interface de tunnel virtuel (VTI).

VPN L2

La connectivité L2VPN permet d'étendre les réseaux de couche 2 d'un centre de données sur site au cloud, tel que VMware Cloud sur Amazon (VMC). Cette connexion est sécurisée avec le tunnel IPSec basé sur une route.

Le réseau étendu est un sous-réseau unique avec un seul domaine de diffusion, de sorte que vous pouvez migrer les machines virtuelles entre le centre de données sur site et cloud public sans avoir à modifier leurs adresses IP.

En plus de prendre en charge la migration de centre de données, un réseau sur site étendu avec un L2VPN est utile pour la récupération d'urgence et l'implication dynamique des ressources de calcul hors site pour répondre à une augmentation de la demande appelée « cloud bursting ».

Chaque session L2VPN dispose d'un tunnel GRE. La redondance du tunnel n'est pas prise en charge. Une session L2VPN peut s'étendre sur jusqu'à 4094 réseaux de couche 2.

Note : L2VPN est pris en charge entre NSX-T Data Center et un dispositif NSX Edge qui est non géré ou géré dans une instance de NSX Data Center for vSphere.