ポリシーベース IPsec VPN では、VPN ポリシーをパケットに適用して VPN トンネルの通過前に IPsec で保護するトラフィックを決定する必要があります。

このタイプの VPN は静的と見なされます。これは、ローカル ネットワーク トポロジや構成が変更されると、その変更に合わせて VPN ポリシー設定も更新する必要があるためです。

ポリシーベース IPSec VPN を NSX で使用する際は、IPsec トンネルを使用して NSX Edge ノードの背後にある 1 つ以上のローカル サブネットをリモート VPN サイトのピア サブネットと接続します。

NAT と IPsec の両方で NSX を構成する場合は、正しい手順を実行して適切に機能するようにすることが重要です。特に、NAT は VPN 接続を設定する前に構成します。たとえば、VPN セッションの構成後に NAT ルールを追加して、NAT の前に VPN を誤って構成した場合、VPN トンネルの状態は停止したままになります。VPN トンネルを再確立するには、VPN 構成を再度有効にするか、再起動する必要があります。この問題を回避するには、NSX で VPN 接続を設定する前に NAT を構成するか、この回避策を実行します。

NAT デバイスの背後に NSX Edge ノードを展開できます。この展開で NAT デバイスは、NSX Edge ノードの VPN アドレスを、インターネットに接するパブリックにアクセス可能なアドレスに変換します。リモート VPN サイトはこのパブリック アドレスを使用して NSX Edge ノードにアクセスします。

リモート VPN サイトを NAT デバイスの背後に設置することもできます。IPsec トンネルをセットアップするには、リモート VPN サイトのパブリック IP アドレスとその ID(FQDN または IP アドレス)を指定する必要があります。両端では、VPN アドレス用に静的な一対一の NAT が要求されます。

注: DNAT は、ポリシーベースの IPsec VPN が構成されている Tier-0 または Tier-1 ゲートウェイでサポートされていません。

IPsec VPN は、オンプレミス ネットワークとクラウド上の Software-Defined Data Center (SDDC) 内のネットワークと間にセキュアな通信トンネルを提供します。ポリシーベースの IPsec VPN では、セッションで提供されるローカル ネットワークとピア ネットワークを両方のエンドポイントで対称に構成する必要があります。たとえば、クラウドの SDDC 内で local ネットワークが X、Y、Z サブネットとして構成され、peer ネットワークが A の場合、オンプレミスの VPN 構成で Alocal ネットワークとして構成され、X、Y、Zpeer ネットワークとして構成されている必要があります。これは、AANY (0.0.0.0/0) に設定されている場合も同様です。たとえば、クラウド上の SDDC のポリシーベース VPN セッションで、local ネットワークが 10.1.1.0/24 として構成され、peer ネットワークが 0.0.0.0/0 として構成されている場合、オンプレミスの VPN エンドポイントの VPN 構成では、0.0.0.0/0 がローカル ネットワークとして構成され、10.1.1.0/24peer ネットワークとして構成されている必要があります。構成に誤りがあると、IPSec VPN トンネルのネゴシエーションが失敗することがあります。

次の表に示すように、サポートされるトンネルの最大数は NSX Edge ノードのサイズで決まります。
表 1. サポートされる IPsec トンネルの数
Edge ノード サイズ VPN セッションあたりの IPsec トンネル数

(ポリシー ベース)

VPN サービスあたりのセッション数 VPN サービスあたりの IPsec トンネル数

(セッションあたり 16 トンネル)

Small 該当なし(事前検証 (POC)/ラボのみ) 該当なし(事前検証 (POC)/ラボのみ) 該当なし(事前検証 (POC)/ラボのみ)
Medium 128 128 2048
Large 128(ソフトリミット) 256 4096
ベア メタル 128(ソフトリミット) 512 6000
制限: ポリシー ベースの IPsec VPN のアーキテクチャでは、VPN トンネルの冗長性の設定に制限があります。

ポリシーベース IPsec VPN の構成方法については、IPsec VPN サービスの追加を参照してください。