Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

比较基于策略和基于路由的 VPN

重要的是要了解基于策略的 VPN 和基于路由的 VPN 之间的差异,以及为什么一个可能优于另一个。

表 1 列出了基于路由的 VPN 和基于策略的 VPN 之间的差异。

表 1: 基于路由的 VPN 和基于策略的 VPN 之间的差异

基于路由的 VPN

基于策略的 VPN

对于基于路由的 VPN,策略不会专门引用 VPN 隧道。

对于基于策略的 VPN 隧道,隧道被视为一个对象,该对象与源、目标、应用程序和操作一起构成允许 VPN 流量的隧道策略。

策略引用目标地址。

在基于策略的 VPN 配置中,隧道策略会按名称专门引用 VPN 隧道。

您创建的基于路由的 VPN 隧道数量受路由条目数量或设备支持的 st0 接口数量(以较低者为准)的限制。

您可以创建的基于策略的 VPN 隧道数量受设备支持的策略数量限制。

当您想要在节省隧道资源的同时对 VPN 流量设置精细限制时,基于路由的 VPN 隧道配置是一个不错的选择。

使用基于策略的 VPN,尽管您可以创建多个引用同一 VPN 隧道的隧道策略,但每个隧道策略对都会与远程对等方创建单独的 IPsec 安全关联 (SA)。每个 SA 均可计为一个单独的 VPN 隧道。

使用基于路由的 VPN 方法时,流量的调节不会与其传输方式耦合。您可以配置数十个策略来调节通过两个站点之间的单个 VPN 隧道的流量,并且只有一个 IPsec SA 在工作。此外,基于路由的 VPN 配置允许您创建策略,引用通过 VPN 隧道到达的目标,其中操作被拒绝。

在基于策略的 VPN 配置中,操作必须是允许的,并且必须包含隧道。

基于路由的 VPN 可通过 VPN 隧道实现动态路由信息交换。在绑定 VPN 隧道的 st0 接口上可启用动态路由协议的实例,例如 OSPF。

动态路由信息交换在基于策略的 VPN 中不受支持。

基于路由的配置用于中心辐射型拓扑。

基于策略的 VPN 不能用于中心辐射型拓扑。

对于基于路由的 VPN,策略不会专门引用 VPN 隧道。

如果隧道无法连接运行动态路由协议的大型网络,并且您不需要保留隧道或定义各种策略来过滤通过隧道的流量,则基于策略的隧道是最佳选择。

基于路由的 VPN 不支持远程访问(拨号)VPN 配置。

远程访问(拨号)VPN 配置需要基于策略的 VPN 隧道。

基于路由的 VPN 可能无法在某些第三方供应商处正常工作。

如果第三方要求每个远程子网使用单独的 SA,则可能需要基于策略的 VPN。

当安全设备执行路由查找以查找必须通过该接口发送流量才能到达某个地址时,它会通过绑定到特定 VPN 隧道的安全隧道接口 () 查找路由。st0

借助基于路由的 VPN 隧道,您可以将隧道视为传输流量的方式,并将策略视为允许或拒绝传输此流量的方法。

借助基于策略的 VPN 隧道技术,您可以在构建策略时将隧道视为一种构成元素。

基于路由的 VPN 支持 st0 接口的 NAT。

如果隧道流量需要 NAT,则无法使用基于策略的 VPN。

基于路由和基于策略的 VPN 都支持代理 ID。基于路由的隧道还提供使用多个流量选择器,也称为多代理 ID。流量选择器是 IKE 对等方之间的协议,如果流量与指定的本地和远程 IP 地址前缀、源端口范围、目标端口范围和协议对匹配,则允许流量通过隧道。您可以在基于路由的特定 VPN 中定义流量选择器,这可能会导致多个第 2 阶段 IPsec SA。仅允许符合流量选择器的流量通过 SA。当远程网关设备是非瞻博网络设备时,通常需要流量选择器。

基于策略的 VPN 仅在SRX5400、SRX5600和SRX5800线路上受支持。平台是否支持取决于设备安装的 Junos OS 版本。