Un VPN IPSec basé sur les stratégies nécessite qu'une stratégie VPN soit appliquée aux paquets pour déterminer quel trafic doit être protégé par IPSec avant d'être transmis via le tunnel VPN.

Ce type de VPN est considéré comme statique, car lorsque la topologie et la configuration du réseau local changent, les paramètres de stratégie du VPN doivent également être mis à jour pour prendre en charge les modifications.

Lorsque vous utilisez un VPN IPSec basé sur les stratégies avec NSX, les tunnels IPSec vous permettent de connecter un ou plusieurs sous-réseaux locaux derrière le nœud NSX Edge aux sous-réseaux homologues sur le site VPN distant.

Vous pouvez déployer un nœud NSX Edge derrière un périphérique NAT. Dans ce type de déploiement, le périphérique NAT convertit l'adresse VPN d'un nœud NSX Edge en une adresse accessible publiquement sur Internet. Les sites VPN distants utilisent cette adresse publique pour accéder au nœud NSX Edge.

Vous pouvez aussi placer des sites VPN distants derrière un périphérique NAT. Vous devez fournir l'adresse IP publique du site VPN distant, ainsi que son ID (adresse de nom de domaine complet ou adresse IP) pour configurer le tunnel IPSec. Des deux côtés, une conversion NAT statique bijective est indispensable pour l'adresse du VPN.

Note : DNAT n'est pas pris en charge sur les passerelles de niveau 0 ou de niveau 1 sur lesquelles un VPN IPSec basé sur les stratégies est configuré.

Le VPN IPSec peut fournir un tunnel de communication sécurisé entre un réseau sur site et un réseau dans votre centre de données software-defined (SDDC) de cloud. Pour le VPN IPSec basé sur la stratégie, les réseaux locaux et homologues de la session doivent être configurés de manière symétrique sur les deux points de terminaison. Par exemple, si le SDDC de cloud dispose de réseaux local configurés comme des sous-réseaux X, Y, Z et que le réseau peer est A, la configuration du VPN sur site doit avoir A comme réseau local et X, Y, Z comme réseau peer. Ce cas est vrai même lorsque A est défini sur ANY (0.0.0.0/0). Par exemple, si le réseau local de la session VPN basée sur la stratégie du SDDC de cloud est configuré sur 10.1.1.0/24 et que son réseau peer est configuré sur 0.0.0.0/0, sur le point de terminaison VPN sur site, la configuration du VPN doit avoir 0.0.0.0/0 comme réseau local et 10.1.1.0/24 comme réseau peer. En cas de mauvaise configuration, la négociation de tunnel VPN IPSec peut échouer.

La taille du nœud NSX Edge détermine le nombre maximal de tunnels pris en charge, comme indiqué dans le tableau suivant.
Tableau 1. Nombre de tunnels IPSec pris en charge
Taille du nœud Edge Nombre de tunnels IPSec par

session VPN (basée sur les stratégies)

Nombre de sessions par service VPN Nombre de tunnels IPSec par service VPN

(16 tunnels par session)

Petite S/o (POC/Lab uniquement) S/o (POC/Lab uniquement) S/o (POC/Lab uniquement)
Moyenne 128 128 2 048
Grande 128 (limite logicielle) 256 4 096
Bare Metal 128 (limite logicielle) 512 6000
Restriction : L'architecture inhérente d'un VPN IPSec basé sur les stratégies vous empêche de configurer la redondance d'un tunnel VPN.

Pour plus d'informations sur la configuration d'un VPN IPSec basé sur les stratégies, consultez la section Ajouter un NSX service VPN IPSec.