In einem richtlinienbasierten IPSec-VPN konfigurieren Sie explizit die Subnetze hinter dem NSX Edge auf der lokalen Site, die eine sichere und verschlüsselte Kommunikation mit den Remote-Subnetzen auf der Peer-Site erfordern.

Wenn die lokale IPSec-VPN-Site Datenverkehr von ungeschützten lokalen Subnetzen zu den geschützten Remote-Subnetzen auf der Peer-Site ausgibt, wird der Datenverkehr verworfen.

Die lokalen Subnetze hinter einem NSX Edge müssen Adressbereiche aufweisen, die sich nicht mit den IP-Adressen auf der VPN-Site des Peers überschneiden. Wenn der lokale Peer und Remote-Peer eines IPsec-VPN-Tunnels überschneidende IP-Adressen haben, ist möglicherweise der über den Tunnel weitergeleitete Datenverkehr nicht konsistent.

Sie können einen NSX Edge-Agenten hinter einem NAT-Gerät bereitstellen. In dieser Bereitstellung übersetzt das NAT-Gerät die VPN-Adresse einer NSX Edge-Instanz in eine aus dem Internet zugängliche öffentliche Adresse. Remote-VPN-Sites verwenden diese öffentliche Adresse für den Zugriff auf die NSX Edge-Instanz.

Sie können Remote-VPN-Sites auch hinter einem NAT-Gerät platzieren. Zum Einrichten des Tunnels müssen Sie die öffentliche IP-Adresse und die ID (FQDN oder IP-Adresse) der Remote-VPN-Site bereitstellen. Für die VPN-Adresse ist auf beiden Seiten eine statische 1:1-Netzwerkadressübersetzung erforderlich.

Ein detailliertes Beispiel für das Konfigurieren eines richtlinienbasierten IPSec-Tunnels zwischen einem NSX Edge und einem Remote-VPN-Gateway finden Sie unter Beispiel für das Konfigurieren einer richtlinienbasierten IPSec-VPN-Site.