NSX-T Data Center では、NSX Edge 上の IPsec VPN およびレイヤー 2 VPN (L2VPN) をサポートしています。

注: IPsec VPN および L2VPN は、 NSX-T Data Center Limited Export Release ではサポートされていません。

IPsec VPN

IPsec VPN は、エンドポイントと呼ばれる IPsec ゲートウェイを使用してパブリック ネットワーク経由で接続されている 2 つのネットワーク間のトラフィック フローを保護します。NSX Edge では、IP トンネルと Encapsulating Security Payload (ESP) を使用するトンネル モードのみをサポートしています。

IPsec VPN は、IKE プロトコルを使用して、セキュリティ パラメータをネゴシエートします。UDP ポートは、デフォルトで 500 に設定されます。ゲートウェイで NAT が検出されると、ポートは 4500 に設定されます。

注: IPsec VPN は、Tier-0 論理ルーターでのみサポートされます。

NSX Edge では、2 つのタイプの VPN(ポリシー ベースの VPN とルート ベースの VPN)をサポートしています。

ポリシー ベース VPN では、IPsec サービスに転送されたパケットに適用するポリシーが必要です。このタイプの VPN は静的と見なされます。これは、ローカル ネットワーク トポロジや構成が変更されると、その変更に合わせてポリシー設定を更新する必要があるためです。

ルート ベースの VPN は、プロトコルに BGP などを使用し、仮想トンネル インターフェイス (VTI) と呼ばれる特別なインターフェイスを介して動的に学習したルートに基づいて、トラフィックのトンネリングを行います。IPsec は、トンネル仮想インターフェイス (VTI) を通過するすべてのトラフィックを保護します。

L2 VPN

L2VPN 接続を使用すると、オンプレミス データセンターから VMware Cloud on Amazon (VMC) などのクラウドに、レイヤー 2 ネットワークを拡張できます。この接続は、ルート ベースの IPsec トンネルを使用して保護されます。

拡張ネットワークは、1 つのブロードキャスト ドメインを使用する単一のサブネットです。そのため、IP アドレスを変更せずに、オンプレミス データセンターとパブリック クラウド間で仮想マシンを移行できます。

L2VPN を使用して拡張したオンプレミス ネットワークは、データセンターの移行をサポートするだけでなく、ディザスタ リカバリや、クラウド バースティングと呼ばれる需要の拡大に応じた、オフプレミス コンピューティング リソースの動的な拡張もサポートします。

GRE トンネルは L2VPN セッションごとに 1 つです。トンネルの冗長性はサポートされていません。L2VPN セッションは、最大 4,094 個のレイヤー 2 ネットワークに拡張できます。

注: L2 VPN は、 NSX Data Center for vSphere の管理対象または管理対象外の NSX EdgeNSX-T Data Center 間でサポートされます。