基于策略的 VPN 和基于路由的 VPN 的比较
Security Director 支持为 SRX 系列设备配置两种类型的 VPN - 基于策略的 VPN 和基于路由的 VPN。在加密流量方面,底层 IPsec 功能基本相同。
表 1 总结了基于策略的 VPN 和基于路由的 VPN 之间的差异。
基于策略的 VPN |
基于路由的 VPN |
|---|---|
隧道被视为一个对象,该对象与源、目标、应用程序和操作一起构成允许 VPN 流量的隧道策略。 |
策略不会专门引用 VPN 隧道。 |
隧道策略专门按名称引用 VPN 隧道。 |
路由根据目标 IP 地址确定通过隧道发送哪些流量。 |
您可以创建的基于策略的 VPN 隧道数量受设备支持的隧道数量限制。 |
您可以创建的基于路由的 VPN 隧道数量受 st0 接口数量(对于点对点 VPN)或设备支持的隧道数量(以较低者为准)的限制。 |
尽管您可以创建多个引用同一 VPN 隧道的隧道策略,但每个隧道策略对都会与远程对等方创建一个单独的 IPsec 安全关联 (SA)。每个 SA 计为一个单独的 VPN 隧道。 |
由于路由(而非策略)决定了哪些流量通过隧道,因此单个 SA 或 VPN 可以支持多个策略。 |
该操作必须是允许的,并且必须包含一个隧道。 |
对交通的管制与其运载工具并不挂钩。 |
不支持交换动态路由信息。 |
基于路由的 VPN 支持通过 VPN 隧道交换动态路由信息。您可以在绑定到 VPN 隧道的 st0 接口上启用动态路由协议的实例,例如 OSPF。 |
如果您需要比路由所能提供的更精细的粒度来指定发送到隧道的流量,则使用带有安全策略的基于策略的 VPN 是最佳选择。 |
基于路由的 VPN 使用路由来指定发送到隧道的流量;策略不会专门引用 VPN 隧道。 |
您可以将隧道视为构建策略的元素。 |
当安全设备执行路由查找以查找必须通过哪个接口发送流量才能到达某个地址时,它会通过安全隧道 (st0) 接口查找路由。使用基于路由的 VPN 隧道,您可以将隧道视为传输流量的方式,也可以将策略视为允许或拒绝传输该流量的方法。 |
基于路由和基于策略的 VPN 都支持代理 ID。但是,多代理 ID 仅支持基于路由的 VPN。多代理 ID 也称为流量选择器。流量选择器是 IKE 对等方之间的协议,如果流量与指定的本地和远程地址对匹配,则允许流量通过隧道。您可以在基于路由的特定 VPN 中定义流量选择器,这可能会导致多个第 2 阶段 IPsec SA。仅允许符合流量选择器的流量通过 SA。当远程网关设备是非瞻博网络设备时,通常需要流量选择器。