Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Vergleich von richtlinienbasierten und routenbasierten VPNs

Es ist wichtig, die Unterschiede zwischen richtlinienbasierten und routenbasierten VPNs zu verstehen und zu verstehen, warum eines dem anderen vorzuziehen ist.

Tabelle 1 listet die Unterschiede zwischen routenbasierten VPNs und richtlinienbasierten VPNs auf.

Tabelle 1: Unterschiede zwischen routenbasierten VPNs und richtlinienbasierten VPNs

Routenbasierte VPNs

Richtlinienbasierte VPNs

Bei routenbasierten VPNs verweist eine Richtlinie nicht ausdrücklich auf einen VPN-Tunnel.

Bei richtlinienbasierten VPN-Tunneln wird ein Tunnel als ein Objekt behandelt, das zusammen mit Quelle, Ziel, Anwendung und Aktion eine Tunnelrichtlinie darstellt, die VPN-Datenverkehr zulässt.

Die Richtlinie verweist auf eine Zieladresse.

In einer richtlinienbasierten VPN-Konfiguration verweist eine Tunnelrichtlinie namentlich auf einen VPN-Tunnel.

Die Anzahl der routenbasierten VPN-Tunnel, die Sie erstellen, wird durch die Anzahl der Routeneinträge oder die Anzahl der vom Gerät unterstützten st0-Schnittstellen begrenzt, je nachdem, welche Zahl niedriger ist.

Die Anzahl der richtlinienbasierten VPN-Tunnel, die Sie erstellen können, ist durch die Anzahl der Richtlinien begrenzt, die das Gerät unterstützt.

Die routenbasierte VPN-Tunnelkonfiguration ist eine gute Wahl, wenn Sie Tunnelressourcen schonen und gleichzeitig granulare Einschränkungen für den VPN-Datenverkehr festlegen möchten.

Bei einem richtlinienbasierten VPN können Sie zwar zahlreiche Tunnelrichtlinien erstellen, die auf denselben VPN-Tunnel verweisen, aber jedes Tunnelrichtlinienpaar erstellt eine individuelle IPsec-Sicherheitszuordnung (SA) mit dem Remote-Peer. Jede SA zählt als individueller VPN-Tunnel.

Bei einem routenbasierten Ansatz für VPNs ist die Regulierung des Datenverkehrs nicht an die Art und Weise seiner Bereitstellung gekoppelt. Sie können Dutzende von Richtlinien konfigurieren, um den Datenverkehr zu regulieren, der durch einen einzigen VPN-Tunnel zwischen zwei Standorten fließt, und es ist nur eine IPsec-Sicherheitszuordnung aktiv. Außerdem können Sie mit einer routenbasierten VPN-Konfiguration Richtlinien erstellen, die auf ein Ziel verweisen, das über einen VPN-Tunnel erreicht wird, in dem die Aktion verweigert wird.

In einer richtlinienbasierten VPN-Konfiguration muss die Aktion zulässig sein und einen Tunnel umfassen.

Routenbasierte VPNs unterstützen den Austausch dynamischer Routing-Informationen über VPN-Tunnel. Sie können eine Instanz eines dynamischen Routingprotokolls, z. B. OSPF, auf einer st0-Schnittstelle aktivieren, die an einen VPN-Tunnel gebunden ist.

Der Austausch dynamischer Routing-Informationen wird in richtlinienbasierten VPNs nicht unterstützt.

Routenbasierte Konfigurationen werden für Hub-and-Spoke-Topologien verwendet.

Richtlinienbasierte VPNs können nicht für Hub-and-Spoke-Topologien verwendet werden.

Bei routenbasierten VPNs verweist eine Richtlinie nicht ausdrücklich auf einen VPN-Tunnel.

Wenn ein Tunnel keine großen Netzwerke mit dynamischen Routing-Protokollen verbindet und Sie keine Tunnel konservieren oder verschiedene Richtlinien definieren müssen, um den Datenverkehr durch den Tunnel zu filtern, ist ein richtlinienbasierter Tunnel die beste Wahl.

Routenbasierte VPNs unterstützen keine VPN-Konfigurationen für den Remotezugriff (DFÜ).

Richtlinienbasierte VPN-Tunnel sind für VPN-Konfigurationen mit Remotezugriff (DFÜ) erforderlich.

Routenbasierte VPNs funktionieren bei einigen Drittanbietern möglicherweise nicht richtig.

Richtlinienbasierte VPNs können erforderlich sein, wenn der Drittanbieter separate Sicherheitszuordnungen für jedes Remote-Subnetz benötigt.

Wenn das Sicherheitsgerät eine Routensuche durchführt, um die Schnittstelle zu finden, über die es Datenverkehr senden muss, um eine Adresse zu erreichen, findet es eine Route über eine sichere Tunnelschnittstelle () , die an einen bestimmten VPN-Tunnel gebunden ist.st0

Bei einem routenbasierten VPN-Tunnel können Sie einen Tunnel als Mittel zum Übermitteln von Datenverkehr in Betracht ziehen und die Richtlinie als Methode zum Zulassen oder Verweigern der Übermittlung dieses Datenverkehrs betrachten.

Bei einem richtlinienbasierten VPN-Tunnel können Sie einen Tunnel als Element beim Aufbau einer Richtlinie betrachten.

Routenbasierte VPNs unterstützen NAT für st0-Schnittstellen.

Richtlinienbasierte VPNs können nicht verwendet werden, wenn NAT für getunnelten Datenverkehr erforderlich ist.

Die Proxy-ID wird sowohl für routenbasierte als auch für richtlinienbasierte VPNs unterstützt. Routenbasierte Tunnel bieten auch die Verwendung mehrerer Datenverkehrsselektoren, die auch als Multi-Proxy-ID bezeichnet werden. Ein Datenverkehrsselektor ist eine Vereinbarung zwischen IKE-Peers, um Datenverkehr durch einen Tunnel zuzulassen, wenn der Datenverkehr mit einem bestimmten Paar aus lokalem und Remote-IP-Adresspräfix, Quellportbereich, Zielportbereich und Protokoll übereinstimmt. Sie definieren einen Datenverkehrsselektor innerhalb eines bestimmten routenbasierten VPNs, was zu mehreren IPsec-Sicherheitszuordnungen der Phase 2 führen kann. Nur Datenverkehr, der einem Datenverkehrsselektor entspricht, wird über eine Sicherheitszuordnung zugelassen. Die Datenverkehrsauswahl ist in der Regel erforderlich, wenn es sich bei Remote-Gateway-Geräten um Geräte handelt, die nicht von Juniper Networks stammen.

Richtlinienbasierte VPNs werden nur auf SRX5400, SRX5600 und SRX5800 Line unterstützt. Die Plattformunterstützung hängt von der Junos OS-Version in Ihrer Installation ab.