比较基于策略的 VPN 和基于路由的 VPN
阅读本主题可了解基于策略的 VPN 与基于路由的 VPN 之间的差异。
了解基于策略的 VPN 和基于路由的 VPN 之间的区别以及为何一种可能优于另一种非常重要。
表 1 列出了基于路由的 VPN 与基于策略的 VPN 之间的差异。
| 基于路由的 VPN |
基于策略的 VPN |
|---|---|
| 对于基于路由的 VPN,策略不会特定引用某个 VPN 隧道。 |
使用基于策略的 VPN 隧道时,隧道被视为一个对象,该对象与源、目标、应用程序和操作相结合,一同构成允许 VPN 流量的隧道策略。 |
| 策略引用目标地址。 |
在基于策略的 VPN 配置中,隧道策略会按名称来特定引用某个 VPN 隧道。 |
| 您创建的基于路由的 VPN 隧道数量受路由条目数量或设备支持的 st0 接口数量所限制(以两个数量中较低的数字为准)。 |
可创建的基于策略的 VPN 隧道数量受设备支持的策略数量限制。 |
| 当您想在节省隧道资源的同时对 VPN 流量设置精细限制时,基于路由的 VPN 隧道配置是一个不错的选择。 |
尽管您可借助基于策略的 VPN 来创建多个引用同一 隧道的隧道策略,但每个隧道策略对均会与远程对等方创建一个单独的 IPsec 安全关联 (SA)。每个 SA 均可计为一个单独的 VPN 隧道。 |
| 通过基于路由的 VPN 方法,流量的处理规则不会与其传输方式叠加。您可以配置数十个策略来调节通过两个站点之间的单个 VPN 隧道的流量信息流,并且只有一个 IPsec SA 在运行。此外,基于路由的 VPN 配置允许您创建引用通过 VPN 隧道到达的目标的策略,其中操作被拒绝。 |
在基于策略的 VPN 配置中,操作必须是被允许的,并且必须包含一个隧道。 |
| 基于路由的 VPN 可通过 VPN 隧道实现动态路由信息交换。在绑定 VPN 隧道的 st0 接口上可启用动态路由协议的实例,例如 OSPF。 |
动态路由信息交换在基于策略的 VPN 中不受支持。 |
| 基于路由的配置用于中心辐射型拓扑。 |
基于策略的 VPN 不能用于中心辐射型拓扑。 |
| 对于基于路由的 VPN,策略不会特定引用某个 VPN 隧道。 |
如果隧道无法连接运行动态路由协议的大型网络,并且您不需要保留隧道或定义各种策略来过滤通过隧道的流量,则基于策略的隧道是最佳选择。 |
| 基于路由的 VPN 不支持远程访问(拨号)VPN 配置。 |
远程访问(拨号)VPN 配置需要基于策略的 VPN 隧道。 |
| 基于路由的 VPN 可能无法与某些第三方供应商正常协作。 |
如果第三方要求为每个远程子网设置单独的 SA,则可能需要基于策略的 VPN。 |
| 当安全设备通过路由查找功能,查找将流量发送到某个地址所必须的接口时,它将通过绑定到特定 VPN 隧道的安全隧道接口 ( 借助基于路由的 VPN 隧道,您可以将隧道视为传输流量的方式,并将策略视为允许或拒绝传输此流量的方法。 |
借助基于策略的 VPN 隧道,您可以在构建策略时将隧道视为一种构成元素。 |
| 基于路由的 VPN 支持 st0 接口的 NAT。 |
如果隧道流量需要 NAT,则无法使用基于策略的 VPN。 |
基于路由和基于策略的 VPN 都支持代理 ID。基于路由的隧道还提供多个流量选择器的使用,也称为多代理 ID。流量选择器是 IKE 对等方之间达成的协议,如果流量与一对指定的本地和远程 IP 地址前缀、源端口范围、目标端口范围和协议匹配,则允许流量通过隧道。您在基于路由的特定 VPN 中定义流量选择器,这可能会导致多个第 2 阶段 IPsec SA。仅允许符合流量选择器的流量通过 SA。当远程网关设备是非瞻博网络设备时,通常需要使用流量选择器。