Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

比较基于策略和基于路由的 Vpn

了解基于策略和基于路由的 Vpn 之间的差异是非常重要的,以及为什么一个人可能更可取。

表 1列出了基于路由的 Vpn 与基于策略的 Vpn 之间的差异。

表 1: 基于路由的 Vpn 与基于策略的 Vpn 之间的差异

基于路由的 Vpn

基于策略的 Vpn

借助基于路由的 Vpn,策略不会专门引用 VPN 通道。

借助基于策略的 VPN 隧道,通道被视为一个与源、目标、应用程序和操作相结合的对象,构成了允许 VPN 流量的隧道策略。

策略将引用目标地址。

在基于策略的 VPN 配置中,通道策略专门按名称引用 VPN 通道。

您创建的基于路由的 VPN 隧道的数量受设备支持的路由条目数或 st0 接口数量的限制,其中的数字越低。

您可以创建的基于策略的 VPN 隧道数量受设备支持的策略数量的限制。

当您希望保留通道资源,同时在 VPN 流量上设置粒度限制时,基于路由的 VPN 隧道配置是一个不错的选择。

借助基于策略的 VPN,尽管您可以创建多个引用同一 VPN 通道的通道策略,但每个通道策略对都会与远程对等方一起创建一个单独的 IPsec 安全关联(SA)。每个 SA 计为一个单独的 VPN 通道。

借助基于路由的 Vpn 方法,信息流的法规并不与其交付方法耦合。您可以配置数十个策略来控制流经两个站点之间的单个 VPN 通道的信息流,并且只有一个 IPsec SA 在工作。此外,基于路由的 VPN 配置允许您创建参考目标通过 VPN 通道到达的策略,其中的操作是 deny。

在基于策略的 VPN 配置中,该操作必须为允许,并且必须包含一个隧道。

基于路由的 Vpn 支持通过 VPN 隧道交换动态路由信息。您可以在绑定到 VPN 通道的 st0 接口上启用动态路由协议的实例,例如 OSPF。

基于策略的 Vpn 中不支持动态路由信息的交换。

基于路由的配置用于辐射型拓扑。

基于策略的 Vpn 不能用于中心辐射型拓扑。

借助基于路由的 Vpn,策略不会专门引用 VPN 通道。

如果通道未连接正在运行动态路由协议的大型网络,并且无需保留隧道或定义各种策略来过滤通过通道的信息流,则基于策略的隧道是最佳选择。

基于路由的 Vpn 不支持远程访问(拨号) VPN 配置。

基于策略的 VPN 隧道是远程访问(拨号) VPN 配置所必需的。

基于路由的 Vpn 可能无法与某些第三方供应商一起正常工作。

如果第三方需要每个远程子网的单独 SAs,则可能需要基于策略的 Vpn。

当安全设备执行路由查找以查找其必须发送信息流以到达地址的接口时,它将通过绑定到特定 VPN 通道的安全通道接口(st0)找到一个路由。

借助基于路由的 VPN 通道,您可以将通道视为传送信息流的方式,并将策略视为允许或拒绝交付该信息流的方法。

借助基于策略的 VPN 通道,您可以在构建策略时将通道视为元素。

基于路由的 Vpn 支持 st0 接口 NAT。

如果通道流量需要 NAT,则不能使用基于策略的 Vpn。

代理 ID 支持基于路由和基于策略的 Vpn。基于路由的隧道还提供使用多个流量选择器,也称为多代理 ID。流量选择器是 IKE 对等方之间的协议,如果流量与指定的本地和远程 IP 地址前缀、源端口范围、目标端口范围和协议匹配,则允许通过隧道传输流量。您可以在基于路由的特定 VPN 中定义流量选择器,这会导致多阶段 2 IPsec Sa。仅允许通过 SA 符合流量选择器的流量。如果远程网关设备是非瞻博网络设备,则通常需要流量选择器。

基于策略的 Vpn 仅在 SRX5400、SRX5600 和 SRX5800 设备上受支持。平台支持取决于安装中的 Junos OS 版本。