정책 기반 IPSec VPN에서는 피어 사이트의 원격 서브넷과의 보안 및 암호화된 통신을 필요로 하는 로컬 사이트의 NSX Edge 뒤에 서브넷을 명시적으로 구성합니다.
로컬 IPSec VPN 사이트가 보호되지 않는 로컬 서브넷에서 피어 사이트의 보호된 원격 서브넷으로의 트래픽을 시작하면 해당 트래픽이 삭제됩니다.
NSX Edge 뒤에 있는 로컬 서브넷은 피어 VPN 사이트의 IP 주소와 겹치지 않는 주소 범위를 가지고 있어야 합니다. IPsec VPN 터널을 통과하는 로컬 및 원격 피어의 IP 주소가 겹칠 경우 터널을 통한 트래픽 전달이 일관되지 않을 수 있습니다.
NAT 디바이스 뒤에 NSX Edge 에이전트를 배포할 수 있습니다. 이 배포에서 NAT 디바이스는 NSX Edge 인스턴스의 VPN 주소를 인터넷에 연결하는 공용 액세스 가능 주소로 변환합니다. 원격 VPN 사이트는 이 공용 주소를 사용하여 NSX Edge 인스턴스에 액세스합니다.
NAT 디바이스 뒤에 원격 VPN 사이트를 배치할 수도 있습니다. 터널을 설정하려면 원격 VPN 사이트의 공용 IP 주소 및 해당 ID(FQDN 또는 IP 주소)를 제공해야 합니다. 양쪽 끝점에서 VPN 주소에 대해 정적 일대일 NAT가 필요합니다.
다음 표에 나와 있는 것처럼 ESG의 크기는 지원되는 터널의 최대 수를 결정합니다.
| ESG 크기 | IPSec 터널 수 |
|---|---|
| 소형 | 512 |
| 중형 | 1600 |
| 대형 | 4096 |
| 초대형 | 6000 |
제한 사항: 정책 기반 IPSec VPN의 기본 아키텍처는 VPN 터널 이중화를 설정하지 못하게 합니다.
NSX Edge와 원격 VPN 게이트웨이 간에 정책 기반 IPSec 터널을 구성하는 방법에 대한 자세한 예제를 보려면 정책 기반 IPSec VPN 사이트 구성 예를 참조하십시오.
