Un VPN de sécurité du protocole Internet (Internet Protocol Security, IPSec) sécurise le trafic circulant entre deux réseaux connectés via un réseau public par le biais de passerelles IPSec appelées des points de terminaison. NSX Edge prend uniquement en charge un mode tunnel qui utilise la mise en tunnel IP avec ESP (Encapsulating Security Payload). ESP fonctionne directement au-dessus d'IP en utilisant le numéro de protocole IP 50.

Le VPN IPSec utilise le protocole IKE pour négocier les paramètres de sécurité. Le port UDP par défaut est défini à 500. Si la NAT est détectée dans la passerelle, le port est défini sur UDP 4500.

NSX Edge prend en charge un VPN IPSec basé sur une stratégie ou sur une route.

À partir de NSX-T Data Center 2.5, les services VPN IPSec sont pris en charge sur les passerelles de niveau 0 et de niveau 1. Pour plus d'informations, reportez-vous à la section Ajouter une passerelle de niveau 0 ou Ajouter une passerelle de niveau 1. La passerelle de niveau 0 ou de niveau 1 doit être en mode haute disponibilité Active-Standby lorsqu'elle est utilisée pour un service VPN IPSec. Vous pouvez utiliser les segments connectés à des passerelles de niveau 0 ou 1 lors de la configuration d'un service VPN IPSec.

Un service VPN IPSec dans NSX-T Data Center utilise la fonctionnalité de basculement au niveau de la passerelle pour prendre en charge un service haute disponibilité au niveau du service VPN. Des tunnels sont rétablis sur le basculement et les données de configuration VPN sont synchronisées. Avant la version 3.0 de NSX-T Data Center, l'état du VPN IPSec n'est pas synchronisé lors du rétablissement des tunnels. À partir de la version 3.0 NSX-T Data Center, l'état du VPN IPSec est synchronisé avec le nœud NSX Edge en veille lorsque le nœud NSX Edge actif actuel est défaillant et que le nœud NSX Edge en veille d'origine devient le nouveau nœud NSX Edge actif sans renégocier les tunnels. Cette fonctionnalité est prise en charge pour les services VPN IPSec basés sur une stratégie et sur une route.