정책 기반 IPSec VPN을 사용하려면 VPN 터널을 통과하기 전에 IPSec으로 보호되는 트래픽을 확인하기 위해 패킷에 VPN 정책을 적용해야 합니다.

이런 유형의 VPN은 로컬 네트워크 토폴로지 및 구성이 변경될 때 변경 사항을 수용하기 위해 VPN 정책 설정도 업데이트해야 하기 때문에 고정으로 간주됩니다.

NSX-T Data Center와 함께 정책 기반 IPSec VPN을 사용하는 경우 IPSec 터널을 사용하여 NSX Edge 노드 뒤에 있는 하나 이상의 로컬 서브넷을 원격 VPN 사이트의 피어 서브넷과 연결합니다.

NAT 및 IPSec 둘 다로 NSX를 구성할 때는 적절한 기능을 보장하기 위해 올바른 단계 순서를 따르는 것이 중요합니다. 특히 VPN 연결을 설정하기 전에 NAT를 구성합니다. 예를 들어 VPN 세션이 구성된 후 NAT 규칙을 추가하여 NAT 전에 VPN을 실수로 구성하면 VPN 터널 상태가 종료된 상태로 유지됩니다. VPN 터널을 다시 설정하려면 VPN 구성을 다시 사용하도록 설정하거나 다시 시작해야 합니다. 이 문제를 방지하려면 항상 NSX에서 VPN 연결을 설정하기 전에 NAT를 구성하거나 이 해결 방법을 수행하십시오.

NAT 디바이스 뒤에 NSX Edge 노드를 배포할 수 있습니다. 이 배포에서 NAT 디바이스는 NSX Edge 노드의 VPN 주소를 인터넷에 연결하는 공용 액세스 가능 주소로 변환합니다. 원격 VPN 사이트는 이 공용 주소를 사용하여 NSX Edge 노드에 액세스합니다.

NAT 디바이스 뒤에 원격 VPN 사이트를 배치할 수도 있습니다. IPSec 터널을 설정하려면 원격 VPN 사이트의 공용 IP 주소 및 해당 ID(FQDN 또는 IP 주소)를 제공해야 합니다. 양쪽 끝점에서 VPN 주소에 대해 고정 일대일 NAT가 필요합니다.

IPSec VPN은 온-프레미스 네트워크와 클라우드 SDDC(소프트웨어 정의 데이터 센터)의 네트워크 간에 보안 통신 터널을 제공할 수 있습니다. 정책 기반 IPSec VPN의 경우, 세션에 제공된 로컬 및 피어 네트워크를 두 끝점 모두에서 대칭적으로 구성해야 합니다. 예를 들어, 클라우드 SDDC에 X, Y, Z 서브넷으로 구성된 로컬 네트워크가 있고 피어 네트워크가 A인 경우, 온-프레미스 VPN 구성에 로컬 네트워크에서는 A가, 피어 네트워크에서는 X, Y, Z가 있어야 합니다. A가 ANY (0.0.0.0/0)로 설정된 경우도 마찬가지입니다. 예를 들어, 클라우드 SDDC 정책 기반 VPN 세션에 10.1.1.0/24로 구성된 로컬 네트워크와 0.0.0.0/0으로 구성된 피어 네트워크가 있는 경우, 온-프레미스 VPN 끝점에서 VPN 구성에는 로컬 네트워크로 0.0.0.0/0이, 피어 네트워크로 10.1.1.0/24가 있어야 합니다. 잘못 구성된 경우, IPSec VPN 터널 협상이 실패할 수 있습니다.

정책 기반 IPSec VPN을 구성하는 방법에 대한 내용은 IPSec VPN 서비스 추가 항목을 참조하십시오.