Internet Protocol Security (IPsec) VPN は、エンドポイントと呼ばれる IPsec ゲートウェイを使用してパブリック ネットワーク経由で接続されている 2 つのネットワーク間のトラフィック フローを保護します。NSX Edge では、IP トンネルと Encapsulating Security Payload (ESP) を使用するトンネル モードのみをサポートしています。ESP は、IP プロトコル番号 50 を使用して、IP のすぐ上で動作します。

IPsec VPN は、IKE プロトコルを使用して、セキュリティ パラメータをネゴシエートします。UDP ポートは、デフォルトで 500 に設定されます。ゲートウェイで NAT が検出されると、ポートは UDP 4500 に設定されます。

NSX Edge は、ポリシーベースまたはルートベースの IPsec VPN をサポートします。

NSX-T Data Center 2.5 以降では、IPsec VPN サービスは Tier-0 と Tier-1 の両方のゲートウェイでサポートされます。詳細については、Tier-0 ゲートウェイの追加またはTier-1 ゲートウェイの追加を参照してください。IPsec VPN サービスに使用する場合は、Tier-0 または Tier-1 ゲートウェイを Active-Standby 高可用性モードにする必要があります。IPsec VPN サービスを構成する場合は、Tier-0 または Tier-1 のいずれかのゲートウェイに接続されているセグメントを使用できます。

NSX-T Data Center の IPsec VPN サービスは、ゲートウェイレベルのフェイルオーバー機能を利用して、VPN サービス レベルの高可用性サービスをサポートします。フェイルオーバーが発生するとトンネルが再確立され、VPN 構成データが同期されます。NSX-T Data Center 3.0 より前のリリースでは、トンネルが再確立されるときに、IPsec VPN の状態は同期されません。NSX-T Data Center 3.0 リリース以降では、現在アクティブな NSX Edge ノードに障害が発生すると、IPsec VPN の状態がスタンバイ NSX Edge ノードと同期され、トンネルと再度ネゴシエートすることなく、そのスタンバイ NSX Edge ノードが新しいアクティブ NSX Edge ノードになります。この機能は、ポリシーベースとルートベースの両方の IPsec VPN サービスでサポートされます。

プリシェアード キー モード認証および IP ユニキャスト トラフィックは、 NSX Edge ノードとリモート VPN サイト間でサポートされています。また、証明書認証は NSX-T Data Center 2.4 以降でサポートされています。サポートされるのは、次のいずれかの署名ハッシュ アルゴリズムで署名された証明書タイプのみです。
  • SHA256withRSA
  • SHA384withRSA
  • SHA512withRSA