Richtlinienbasiertes IPSec-VPN erfordert, dass eine VPN-Richtlinie auf Pakete angewendet wird, um festzustellen, welcher Datenverkehr durch IPSec geschützt werden soll, bevor er durch den VPN-Tunnel übergeben wird.

Diese Art von VPN wird als statisch angesehen, da bei Änderung einer lokalen Netzwerktopologie und -konfiguration auch die VPN-Richtlinieneinstellungen aktualisiert werden müssen, um den Änderungen Rechnung zu tragen.

Wenn Sie ein richtlinienbasiertes IPSec-VPN mit NSX verwenden, verbinden Sie mithilfe von IPSec-Tunneln ein oder mehrere lokale Subnetze hinter dem NSX Edge-Knoten mit den Peer-Subnetzen auf der Remote-VPN-Site.

Sie können einen NSX Edge-Knoten hinter einem NAT-Gerät bereitstellen. In dieser Bereitstellung übersetzt das NAT-Gerät die VPN-Adresse eines NSX Edge-Knotens in eine aus dem Internet zugängliche öffentliche Adresse. Remote-VPN-Sites verwenden diese öffentliche Adresse für den Zugriff auf den NSX Edge-Knoten.

Sie können Remote-VPN-Sites auch hinter einem NAT-Gerät platzieren. Zum Einrichten des IPSec-Tunnels müssen Sie die öffentliche IP-Adresse und die ID (FQDN oder IP-Adresse) der Remote-VPN-Site angeben. Für die VPN-Adresse ist auf beiden Seiten eine statische 1:1-Netzwerkadressübersetzung erforderlich.

Hinweis: DNAT wird auf Tier-0- oder Tier-1-Gateways, auf denen richtlinienbasiertes IPSec-VPN konfiguriert ist, nicht unterstützt.

IPSec-VPN kann einen sicheren Kommunikationstunnel zwischen einem lokalen Netzwerk und einem Netzwerk in Ihrem Cloud-Software-Defined Data Center (SDDC) bereitstellen. Für richtlinienbasiertes IPSec-VPN müssen die in der Sitzung bereitgestellten lokalen und Peer-Netzwerke auf beiden Endpoints symmetrisch konfiguriert werden. Wenn beim Cloud-SDDC beispielsweise die lokalen Netzwerke als X, Y, Z konfiguriert sind, und das Peer-Netzwerk A ist, muss die Konfiguration des lokalen VPN A als lokales Netzwerk und X, Y, Z als Peer-Netzwerk verwenden. Dieser Fall gilt auch dann, wenn A auf ANY (0.0.0.0/0) festgelegt ist. Wenn z. B. bei der richtlinienbasierten VPN-Verbindung des Cloud-SDDC das lokale Netzwerk als 10.1.1.0/24 konfiguriert ist, und das Peer-Netzwerk als 0.0.0.0/0, muss die VPN-Verbindung auf dem lokalen VPN-Endpoint 0.0.0.0/0 als lokales Netzwerk und 10.1.1.0/24 als Peer-Netzwerk verwenden. Wenn Sie falsch konfiguriert ist, schlägt die IPSec-VPN-Tunnelaushandlung möglicherweise fehl.

Die Größe des NSX Edge-Knotens bestimmt die maximale Anzahl unterstützter Tunnel, wie in der folgenden Tabelle dargestellt.
Tabelle 1. Anzahl der unterstützten IPSec-Tunnel
Edge-Knotengröße Anzahl der IPSec-Tunnel pro

VPN-Sitzung (richtlinienbasiert)

Anzahl der Sitzungen pro VPN-Dienst Anzahl der IPSec-Tunnel pro VPN-Dienst

(16-Tunnel pro Sitzung)

Klein N. v. (nur POC/Lab) N. v. (nur POC/Lab) N. v. (nur POC/Lab)
Mittel 128 128 2048
Groß 128 (weiche Grenze) 256 4096
Bare Metal 128 (weiche Grenze) 512 6000
Einschränkung: Die vererbte Architektur des richtlinienbasierten IPSec-VPN schränkt Sie bei der Einrichtung einer VPN-Tunnel-Redundanz ein.

Weitere Informationen zum Konfigurieren eines richtlinienbasierten IPSec-VPN finden Sie unter Hinzufügen eines NSX IPSec-VPN-Diensts.