Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comparando VPNs baseadas em políticas e baseadas em rota

É importante entender as diferenças entre VPNs baseadas em políticas e baseadas em rota e por que uma pode ser preferível à outra.

Tabela 1 lista as diferenças entre VPNs baseadas em rota e VPNs baseadas em políticas.

Tabela 1: Diferenças entre VPNs baseadas em rota e VPNs baseadas em políticas

VPNs baseadas em rota

VPNs baseadas em políticas

Com VPNs baseadas em rota, uma política não faz referência especificamente a um túnel VPN.

Com túneis VPN baseados em políticas, um túnel é tratado como um objeto que, juntamente com fonte, destino, aplicativo e ação, constitui uma política de túnel que permite o tráfego de VPN.

A política faz referência a um endereço de destino.

Em uma configuração de VPN baseada em políticas, uma política de túnel faz referência especificamente a um túnel VPN por nome.

O número de túneis de VPN baseados em rota que você cria é limitado pelo número de entradas de rota ou pelo número de interfaces st0 que o dispositivo oferece suporte, o que for menor.

O número de túneis de VPN baseados em políticas que você pode criar é limitado pelo número de políticas que o dispositivo oferece suporte.

A configuração de túnel VPN baseada em rota é uma boa opção quando você deseja conservar recursos de túnel ao mesmo tempo em que estabelece restrições granulares no tráfego de VPN.

Com uma VPN baseada em políticas, embora você possa criar inúmeras políticas de túnel fazendo referência ao mesmo túnel VPN, cada par de política de túnel cria uma associação de segurança IPsec (SA) individual com o peer remoto. Cada SA conta como um túnel VPN individual.

Com uma abordagem baseada em rota para VPNs, a regulamentação do tráfego não está associada aos meios de sua entrega. Você pode configurar dezenas de políticas para regular o fluxo de tráfego por um único túnel VPN entre dois locais, e apenas um IPsec SA está funcionando. Além disso, uma configuração de VPN baseada em rota permite que você crie políticas que façam referência a um destino alcançado por um túnel VPN no qual a ação é negado.

Em uma configuração de VPN baseada em políticas, a ação deve ser permissão e deve incluir um túnel.

As VPNs baseadas em rota oferecem suporte à troca de informações dinâmicas de roteamento por túneis VPN. Você pode habilitar uma instância de um protocolo de roteamento dinâmico, como o OSPF, em uma interface st0 que está vinculada a um túnel VPN.

A troca de informações de roteamento dinâmico não é suportada em VPNs baseadas em políticas.

As configurações baseadas em rota são usadas para topologias hub-and-spoke.

As VPNs baseadas em políticas não podem ser usadas para topologias hub-and-spoke.

Com VPNs baseadas em rota, uma política não faz referência especificamente a um túnel VPN.

Quando um túnel não conecta grandes redes que executam protocolos de roteamento dinâmico e você não precisa conservar túneis ou definir várias políticas para filtrar o tráfego através do túnel, um túnel baseado em políticas é a melhor escolha.

As VPNs baseadas em rota não oferecem suporte a configurações de VPN de acesso remoto (dial-up).

Os túneis VPN baseados em políticas são necessários para configurações de VPN de acesso remoto (dial-up).

As VPNs baseadas em rota podem não funcionar corretamente com alguns fornecedores terceirizados.

As VPNs baseadas em políticas podem ser necessárias se o terceiro exigir SAs separados para cada sub-rede remota.

Quando o dispositivo de segurança faz uma pesquisa de rota para encontrar a interface pela qual deve enviar tráfego para chegar a um endereço, ele encontra uma rota através de uma interface de túnel segura (st0) , que está vinculada a um túnel VPN específico.

Com um túnel VPN baseado em rota, você pode considerar um túnel como um meio para entregar tráfego, e pode considerar a política como um método para permitir ou negar a entrega desse tráfego.

Com um túnel VPN baseado em políticas, você pode considerar um túnel como um elemento na construção de uma política.

VPNs baseadas em rota oferecem suporte a NAT para interfaces st0.

As VPNs baseadas em políticas não podem ser usadas se o NAT for necessário para tráfego em túnel.

O ID proxy é suportado tanto para VPNs baseadas em rota quanto para VPNs baseadas em políticas. Os túneis baseados em rota também oferecem o uso de vários seletores de tráfego também conhecidos como ID multi-proxy. Um seletor de tráfego é um acordo entre os pares do IKE para permitir o tráfego através de um túnel, se o tráfego combinar com um par especificado de prefixo de endereço IP local e remoto, faixa de porta de origem, alcance de porta de destino e protocolo. Você define um seletor de tráfego em uma VPN baseada em rota específica, o que pode resultar em vários SAs IPsec da Fase 2. Somente o tráfego em conformidade com um seletor de tráfego é permitido por meio de um SA. O seletor de tráfego é comumente necessário quando dispositivos de gateway remotos não são dispositivos da Juniper Networks.

As VPNs baseadas em políticas só são suportadas em linhas de SRX5400, SRX5600 e SRX5800. O suporte da plataforma depende da versão do Junos OS em sua instalação.

Tópicos relacionados