Dans un VPN IPSec basé sur les stratégies, vous configurez explicitement les sous-réseaux derrière NSX Edge sur le site local qui nécessitent une communication sécurisée et chiffrée avec les sous-réseaux distants sur le site homologue.

Lorsque le site VPN IPSec local émet du trafic depuis des sous-réseaux locaux non protégés vers les sous-réseaux distants protégés sur le site homologue, le trafic est abandonné.

Les plages d'adresses des sous-réseaux locaux qui se trouvent derrière un dispositif NSX Edge ne doivent pas chevaucher les adresses IP du site homologue VPN. Si les adresses IP de l'homologue local et de l'homologue distant sur un même tunnel VPN IPsec se chevauchent, le transfert de trafic via le tunnel risque de ne pas être cohérent.

Vous pouvez déployer un agent NSX Edge derrière un périphérique NAT. Dans ce type de déploiement, le périphérique NAT convertit l'adresse VPN d'une instance NSX Edge en une adresse accessible publiquement sur Internet. Les sites VPN distants utilisent cette adresse publique pour accéder à l'instance de NSX Edge.

Vous pouvez aussi placer des sites VPN distants derrière un périphérique NAT. Vous devez fournir l'adresse IP publique du site VPN distant, ainsi que son ID (adresse de nom de domaine complet ou adresse IP) pour configurer le tunnel. Des deux côtés, une conversion NAT statique bijective est indispensable pour l'adresse du VPN.

Pour obtenir un exemple détaillé de configuration d'un tunnel IPSec basé sur les stratégies entre un dispositif NSX Edge et une passerelle VPN distante, consultez la section Exemple de configuration d'un site VPN IPSec basé sur les stratégies.