ポリシーベースの IPsec VPN では、ローカル サイトの NSX Edge の背後にあるサブネットを明示的に構成します。ピア サイトのリモート サブネットとの通信は、暗号化で保護されている必要があります。

ローカル IPsec VPN サイトが、ピアサイトの保護されたリモート サブネット宛てのトラフィックを保護されていないローカル サブネットから送信した場合、このトラフィックはドロップされます。

NSX Edge の背後にあるローカル サブネットには、ピア VPN サイトの IP アドレスと重複しないアドレス範囲が必要です。IPsec VPN トンネル間のローカルとリモートの ピアで IP アドレスが重複している場合、トンネル経由でのトラフィック転送が一貫しなくなる可能性があります。

NAT デバイスの背後に NSX Edge エージェントを展開できます。この展開で NAT デバイスは、NSX Edge インスタンスの VPN アドレスを、インターネットに接するパブリックにアクセス可能なアドレスに変換します。リモート VPN サイトはこのパブリック アドレスを使用して NSX Edge インスタンスにアクセスします。

リモート VPN サイトを NAT デバイスの背後に設置することもできます。トンネルをセットアップするには、リモート VPN サイトのパブリック IP アドレスとその ID（FQDN または IP アドレス）を指定する必要があります。両端では、VPN アドレス用に静的な一対一の NAT が要求されます。

NSX Edge とリモート VPN ゲートウェイ間でポリシー ベースの IPsec トンネルを設定する場合の例については、ポリシー ベースの IPsec VPN サイトの構成例を参照してください。