La VPN IPSec basata su criteri richiede l'applicazione di un criterio VPN ai pacchetti per determinare quale traffico deve essere protetto da IPSec prima del passaggio attraverso il tunnel VPN.

Questo tipo di VPN è considerato statico perché quando la topologia e la configurazione della rete locale cambiano, è necessario aggiornare anche le impostazioni del criterio VPN in base alle modifiche.

Quando si utilizza una VPN IPSec basata su criteri con NSX, si utilizzano tunnel IPSec per connettere una o più subnet locali dietro il nodo di NSX Edge con le subnet peer nel sito VPN remoto.

Quando si configura NSX con NAT e IPSec, è importante eseguire la sequenza di passaggi corretta per garantire il corretto funzionamento. In particolare, configurare NAT prima di configurare la connessione VPN. Se ad esempio si configura inavvertitamente la VPN prima di NAT, quando si aggiunge una regola NAT dopo che la sessione VPN è stata configurata, lo stato del tunnel VPN rimarrà inattivo. Per ristabilire il tunnel VPN, è necessario riabilitare o riavviare la configurazione della VPN. Per evitare questo problema, configurare sempre NAT prima di configurare la connessione VPN in NSX o applicare questa soluzione.

È possibile distribuire un nodo NSX Edge dietro un dispositivo NAT. In questa distribuzione, il dispositivo NAT converte l'indirizzo VPN di un nodo NSX Edge in un indirizzo accessibile pubblicamente e rivolto a Internet. I siti VPN remoti utilizzano questo indirizzo pubblico per accedere al nodo NSX Edge.

È possibile collocare siti VPN remoti anche dietro un dispositivo NAT. Per configurare il tunnel IPSec, è necessario specificare l'indirizzo IP pubblico del sito VPN remoto e il relativo ID (FQDN o indirizzo IP). In entrambe le estremità, per l'indirizzo VPN è necessario il NAT statico one-to-one.

Nota: DNAT non è supportato nei gateway di livello 0 o di livello 1 in cui è configurata la VPN IPSec basata su criteri.

La VPN IPSec può fornire un tunnel di comunicazione sicuro tra una rete locale e una rete nell'SDDC (Software-Defined Data Center) del cloud. Per la VPN IPSec basata su criteri, le reti locale e peer specificate nella sessione devono essere configurate simmetricamente in entrambi gli endpoint. Ad esempio, se il cloud-SDDC dispone di reti locali configurate come subnet X, Y, Z e la rete peer è A, la configurazione VPN locale deve avere A come rete locale e X, Y, Z come rete peer. Questo caso si verifica anche quando A è impostato su ANY (0.0.0.0/0). Ad esempio, se la sessione VPN basata su criteri del cloud SDDC include la rete locale configurata come 10.1.1.0/24 e la rete peer come 0.0.0.0/0, nell'endpoint VPN locale, la configurazione VPN deve avere 0.0.0.0/0 come rete locale e 10.1.1.0/24 come rete peer. Se non configurata correttamente, la negoziazione del tunnel VPN IPSec potrebbe non riuscire.

Le dimensioni del nodo di NSX Edge determinano il numero massimo di tunnel supportati, come illustrato nella tabella seguente.
Tabella 1. Numero di tunnel IPSec supportati
Dimensioni nodo Edge N. di tunnel IPSec per

sessione VPN (basata su criteri)

N. di sessioni per servizio VPN N. di tunnel IPSec per servizio VPN

(16 tunnel per sessione)

Piccolo N/D (Solo POC/Lab) N/D (Solo POC/Lab) N/D (Solo POC/Lab)
Medio 128 128 2048
Grande 128 (limite flessibile) 256 4096
Bare-metal 128 (limite flessibile) 512 6000
Limitazione: L'architettura intrinseca della VPN IPSec basata su criteri impedisce la configurazione della ridondanza di un tunnel VPN.

Per informazioni sulla configurazione di una VPN IPSec basata su criteri, vedere Aggiunta di un servizio VPN IPSec.