Un VPN IPSec basé sur les stratégies nécessite qu'une stratégie VPN soit appliquée aux paquets pour déterminer quel trafic doit être protégé par IPSec avant d'être transmis via le tunnel VPN.
Ce type de VPN est considéré comme statique, car lorsque la topologie et la configuration du réseau local changent, les paramètres de stratégie du VPN doivent également être mis à jour pour prendre en charge les modifications.
Lorsque vous utilisez un VPN IPSec basé sur les stratégies avec NSX, les tunnels IPSec vous permettent de connecter un ou plusieurs sous-réseaux locaux derrière le nœud NSX Edge aux sous-réseaux homologues sur le site VPN distant.
Lorsque vous configurez NSX avec NAT et IPSec, il est important de suivre la bonne séquence d'étapes pour garantir une fonctionnalité appropriée. En particulier, configurez NAT avant de configurer la connexion VPN. Si vous configurez par inadvertance le VPN avant NAT, par exemple, en ajoutant une règle NAT après la configuration de votre session VPN, l'état du tunnel VPN reste inactif. Vous devez réactiver ou redémarrer la configuration VPN pour rétablir le tunnel VPN. Pour éviter ce problème, configurez toujours NAT avant de configurer la connexion VPN dans NSX ou appliquez cette solution.
Vous pouvez déployer un nœud NSX Edge derrière un périphérique NAT. Dans ce type de déploiement, le périphérique NAT convertit l'adresse VPN d'un nœud NSX Edge en une adresse accessible publiquement sur Internet. Les sites VPN distants utilisent cette adresse publique pour accéder au nœud NSX Edge.
Vous pouvez aussi placer des sites VPN distants derrière un périphérique NAT. Vous devez fournir l'adresse IP publique du site VPN distant, ainsi que son ID (adresse de nom de domaine complet ou adresse IP) pour configurer le tunnel IPSec. Des deux côtés, une conversion NAT statique bijective est indispensable pour l'adresse du VPN.
Le VPN IPSec peut fournir un tunnel de communication sécurisé entre un réseau sur site et un réseau dans votre centre de données software-defined (SDDC) de cloud. Pour le VPN IPSec basé sur la stratégie, les réseaux locaux et homologues de la session doivent être configurés de manière symétrique sur les deux points de terminaison. Par exemple, si le SDDC de cloud dispose de réseaux local configurés comme des sous-réseaux X, Y, Z et que le réseau peer est A, la configuration du VPN sur site doit avoir A comme réseau local et X, Y, Z comme réseau peer. Ce cas est vrai même lorsque A est défini sur ANY (0.0.0.0/0). Par exemple, si le réseau local de la session VPN basée sur la stratégie du SDDC de cloud est configuré sur 10.1.1.0/24 et que son réseau peer est configuré sur 0.0.0.0/0, sur le point de terminaison VPN sur site, la configuration du VPN doit avoir 0.0.0.0/0 comme réseau local et 10.1.1.0/24 comme réseau peer. En cas de mauvaise configuration, la négociation de tunnel VPN IPSec peut échouer.
Taille du nœud Edge | Nombre de tunnels IPSec par session VPN (basée sur les stratégies) |
Nombre de sessions par service VPN | Nombre de tunnels IPSec par service VPN (16 tunnels par session) |
---|---|---|---|
Petite | S/o (POC/Lab uniquement) | S/o (POC/Lab uniquement) | S/o (POC/Lab uniquement) |
Moyen | 128 | 128 | 2 048 |
Grande | 128 (limite logicielle) | 256 | 4 096 |
Bare Metal | 128 (limite logicielle) | 512 | 6000 |
Pour plus d'informations sur la configuration d'un VPN IPSec basé sur les stratégies, consultez la section Ajouter un service VPN IPSec.