Las VPN de IPSec basadas en directivas requieren una directiva de VPN que se aplique a los paquetes para determinar el tipo de tráfico que se debe proteger mediante IPSec antes de que se transfiera a través del túnel de VPN.

Este tipo de VPN se considera estático porque, cuando cambia la topología de la red local y la configuración, hay que actualizar también la configuración de la directiva de VPN para adaptarla a los cambios.

Cuando se utiliza una VPN de IPSec basada en directivas con NSX-T Data Center, los túneles de IPSec se conectan a una o varias subredes locales detrás del nodo de NSX Edge con las subredes del mismo nivel en el sitio VPN remoto.

Al configurar NSX con NAT e IPSec, es importante seguir la secuencia correcta de pasos para garantizar una funcionalidad adecuada. Específicamente, configure NAT antes de configurar la conexión VPN. Si configura accidentalmente la VPN antes de NAT (por ejemplo, agregando una regla NAT después de configurar la sesión de VPN), el estado del túnel VPN permanecerá inactivo. Debe volver a habilitar o reiniciar la configuración de VPN para restablecer el túnel VPN. Para evitar este problema, configure siempre NAT antes de configurar la conexión VPN en NSX o ejecute esta solución alternativa.

Puede implementar un nodo de NSX Edge detrás de un dispositivo NAT. En esta implementación, el dispositivo NAT traduce la dirección de la VPN de un nodo de NSX Edge a una dirección de acceso público a la que puede accederse desde Internet. Los sitios de VPN remotos utilizan esta dirección pública para acceder al nodo de NSX Edge.

También es posible colocar sitios de VPN remotos detrás de un dispositivo NAT. Debe proporcionar la dirección IP pública del sitio VPN remoto y su identificador (dirección IP o FQDN) para configurar el túnel de IPSec. En ambos extremos, se requiere una NAT estática individual para la dirección de la VPN.

Nota: DNAT no admite puertas de enlace de nivel 0 o nivel 1 donde está configurada la VPN de IPSec basada en directivas.

Una VPN de IPSec puede proporcionar un túnel de comunicaciones seguro entre una red y una red local en el centro de datos definido por software (SDDC) de la nube. Para una VPN de IPSec basada en directivas, las redes local y del mismo nivel que se proporcionen en la sesión deberán estar configuradas de forma simétrica en ambos endpoints. Por ejemplo, si cloud-SDDC tiene la red local configurada como las subredes X, Y, Z y la red del mismo nivel es A, la configuración de la VPN local debe tener A como la red local y X, Y, Z como la red del mismo nivel. Este caso es cierto aunque A está configurada como ANY (0.0.0.0/0). Por ejemplo, si la sesión de VPN basada en directivas de cloud-SDDC tiene la red local configurada como 10.1.1.0/24 y la red del mismo nivel como 0.0.0.0/0, en el endpoint de VPN local, la configuración de la VPN deberá tener 0.0.0.0/0 como la red local y 10.1.1.0/24 como la red del mismo nivel. Si no se configura correctamente, es posible que se produzca un error en la negociación del túnel de la VPN de IPSec.

El tamaño del nodo de NSX Edge determina el número máximo de túneles admitidos, como aparecen en la siguiente tabla.
Tabla 1. Cantidad de túneles de IPSec admitidos
Tamaño del nodo de Edge N.º de túneles de IPSec por

sesión de VPN (basada en directivas)

N.º de sesiones por servicio VPN N.º de túneles de IPSec por servicio de VPN

(16 túneles por sesión)

Pequeño N/D (solo validación técnica/laboratorio) N/D (solo validación técnica/laboratorio) N/D (solo validación técnica/laboratorio)
Mediano 128 128 2048
Grande 128 (límite débil) 256 4096
Sin sistema operativo 128 (límite débil) 512 6.000
Restricción: La arquitectura inherente de VPN de IPSec basada en directivas impide que pueda configurar una redundancia del túnel VPN.

Para obtener más información sobre cómo configurar una VPN de IPSec basada en directivas, consulte Agregar un servicio de VPN de IPSec.