En una VPN de IPSec basada en directivas, se configuran de forma explícita las subredes detrás de NSX Edge en el sitio local que requieren una comunicación cifrada y segura con las subredes remotas en el sitio del mismo nivel.

Cuando el sitio VPN IPSec local lleva tráfico desde subredes locales desprotegidas a subredes remotas protegidas en el sitio del mismo nivel, el tráfico se descarta.

Las subredes locales tras un NSX Edge deben tener rangos de direcciones que no se superpongan con las direcciones IP en el sitio VPN al mismo nivel. Si el mismo nivel local y remoto mediante un túnel VPN IPSec tiene direcciones IP que se superponen, es posible que no sea consistente el reenvío de tráfico mediante el túnel.

Puede implementar un agente NSX Edge detrás de un dispositivo NAT. En esta implementación, el dispositivo NAT traduce la dirección de la VPN de una instancia de NSX Edge a una dirección de acceso público a la que puede accederse desde Internet. Los sitios de VPN remotos utilizan esta dirección pública para acceder a la instancia de NSX Edge.

También es posible colocar sitios de VPN remotos detrás de un dispositivo NAT. Debe proporcionar la dirección IP pública del sitio VPN y su ID (dirección IP o FQDN) para configurar el túnel. En ambos extremos, se requiere una NAT estática individual para la dirección de la VPN.

Para obtener un ejemplo sobre cómo configurar un túnel de VPN IPSec basada en políticas entre NSX Edge y una puerta de enlace de VPN, consulte Ejemplo de configuración del sitio de VPN IPSec basada en directivas.