La VPN IPSec (Internet Protocol Security) protegge il traffico che scorre tra due reti connesse tramite una rete pubblica tramite gateway IPSec denominati endpoint. NSX Edge supporta solo una modalità tunnel che utilizza il tunneling IP con ESP (Encapsulating Security Payload). L'ESP funziona direttamente sull'IP, utilizzando il numero di protocollo IP 50.

La VPN IPSec utilizza il protocollo IKE per la negoziazione dei parametri di sicurezza. La porta UDP predefinita è impostata su 500. Se nel gateway viene rilevato il NAT, la porta viene impostata su UDP 4500.

NSX Edge supporta una VPN IPSec basata su criteri o basata su route.

A partire da NSX-T Data Center 2.5, i servizi VPN IPSec sono supportati nei gateway di livello 0 e livello 1. Per ulteriori informazioni, consultare Aggiunta di un gateway di livello 0 o Aggiunta di un gateway di livello 1. Il gateway di livello 0 o 1 deve essere in Active-Standby modalità ad alta disponibilità quando viene utilizzato per un servizio VPN IPSec. Quando si configura un servizio VPN IPSec, è possibile utilizzare segmenti connessi ai gateway di livello 0 o livello 1.

Un servizio VPN IPsec in NSX-T Data Center utilizza la funzionalità di failover a livello del gateway per supportare un servizio ad alta disponibilità a livello del servizio VPN. I tunnel vengono ristabiliti quando i dati di failover e della configurazione VPN vengono sincronizzati. Prima di NSX-T Data Center versione 3.0, lo stato della VPN IPSec non viene sincronizzato quando vengono ristabiliti i tunnel. A partire dalla versione NSX-T Data Center 3.0, lo stato della VPN IPSec viene sincronizzato con il nodo di NSX Edge di standby quando il nodo di NSX Edge attivo corrente non riesce e il nodo di NSX Edge di standby originale diventa il nuovo nodo di NSX Edge attivo senza dover rinegoziare i tunnel. Questa funzionalità è supportata sia per i servizi VPN IPSec basati su criteri che per i servizi VPN IPSec basati su route.