Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Vergleich von richtlinien- und routenbasierten VPNs

Es ist wichtig, die Unterschiede zwischen richtlinienbasierten und routenbasierten VPNs zu verstehen und warum eins dem anderen vorzuziehen ist.

Tabelle 1 listet die Unterschiede zwischen routenbasierten VPNs und richtlinienbasierten VPNs auf.

Tabelle 1: Unterschiede zwischen routenbasierten VPNs und richtlinienbasierten VPNs

Routenbasierte VPNs

Richtlinienbasierte VPNs

Bei routenbasierten VPNs verweist eine Richtlinie nicht speziell auf einen VPN-Tunnel.

Bei richtlinienbasierten VPN-Tunneln wird ein Tunnel als Objekt behandelt, das zusammen mit Quelle, Ziel, Anwendung und Aktion eine Tunnelrichtlinie darstellt, die VPN-Datenverkehr ermöglicht.

Die Richtlinie verweist auf eine Zieladresse.

In einer richtlinienbasierten VPN-Konfiguration verweist eine Tunnelrichtlinie speziell auf einen VPN-Tunnel nach Namen.

Die Anzahl der routenbasierten VPN-Tunnel, die Sie erstellen, ist durch die Anzahl der Routeneinträge oder die Anzahl der vom Gerät unterstützten st0-Schnittstellen begrenzt, je nachdem, welche Anzahl niedriger ist.

Die Anzahl der richtlinienbasierten VPN-Tunnel, die Sie erstellen können, ist durch die Anzahl der Vom Gerät unterstützten Richtlinien begrenzt.

Eine routenbasierte VPN-Tunnelkonfiguration ist eine gute Wahl, wenn Sie Tunnelressourcen sparen und gleichzeitig granulare Einschränkungen für den VPN-Datenverkehr festlegen möchten.

Mit einem richtlinienbasierten VPN können Sie zwar zahlreiche Tunnelrichtlinien erstellen, die auf denselben VPN-Tunnel verweisen, aber jedes Tunnelrichtlinienpaar erstellt eine individuelle IPsec-Sicherheitszuordnung (SA) mit dem Remote-Peer. Jede SA zählt als individueller VPN-Tunnel.

Bei einem routenbasierten Ansatz für VPNs ist die Regulierung des Datenverkehrs nicht an die Mittel für die Bereitstellung gekoppelt. Sie können Dutzende von Richtlinien konfigurieren, um den Datenverkehr zu regeln, der durch einen einzigen VPN-Tunnel zwischen zwei Standorten fließt, und nur eine IPsec SA ist im Einsatz. Außerdem können Sie mit einer routenbasierten VPN-Konfiguration Richtlinien erstellen, die auf ein Ziel verweisen, das über einen VPN-Tunnel erreicht wird, in dem die Aktion abgelehnt wird.

In einer richtlinienbasierten VPN-Konfiguration muss die Aktion zulässig sein und einen Tunnel umfassen.

Routenbasierte VPNs unterstützen den Austausch von dynamischen Routing-Informationen über VPN-Tunnel. Sie können eine Instanz eines dynamischen Routing-Protokolls wie OSPF auf einer st0-Schnittstelle aktivieren, die an einen VPN-Tunnel gebunden ist.

Der Austausch von dynamischen Routing-Informationen wird in richtlinienbasierten VPNs nicht unterstützt.

Für Hub-and-Spoke-Topologien werden routenbasierte Konfigurationen verwendet.

Richtlinienbasierte VPNs können nicht für Hub-and-Spoke-Topologien verwendet werden.

Bei routenbasierten VPNs verweist eine Richtlinie nicht speziell auf einen VPN-Tunnel.

Wenn ein Tunnel keine Verbindungen zu großen Netzwerken mit dynamischen Routing-Protokollen verbindet und Sie keine Tunnel konservieren oder verschiedene Richtlinien definieren müssen, um den Datenverkehr durch den Tunnel zu filtern, ist ein richtlinienbasierter Tunnel die beste Wahl.

Routenbasierte VPNs unterstützen keine VPN-Konfigurationen für Remotezugriff (DFÜ).

Richtlinienbasierte VPN-Tunnel sind für Remote-Zugriff (DFÜ)-VPN-Konfigurationen erforderlich.

Routenbasierte VPNs funktionieren bei einigen Drittanbietern möglicherweise nicht richtig.

Möglicherweise sind richtlinienbasierte VPNs erforderlich, wenn der Drittanbieter separate SAs für jedes Remote-Subnetz benötigt.

Wenn das Sicherheitsgerät eine Routensuche ausführt, um die Schnittstelle zu finden, über die Datenverkehr gesendet werden muss, um eine Adresse zu erreichen, findet es eine Route über eine sichere Tunnelschnittstelle (st0) , die an einen bestimmten VPN-Tunnel gebunden ist.

Bei einem routenbasierten VPN-Tunnel können Sie einen Tunnel als Mittel für die Bereitstellung von Datenverkehr betrachten und die Richtlinie als Methode betrachten, um die Übermittlung des Datenverkehrs entweder zuzulassen oder zu verweigern.

Bei einem richtlinienbasierten VPN-Tunnel können Sie einen Tunnel als Element beim Erstellen einer Richtlinie betrachten.

Routenbasierte VPNs unterstützen NAT für st0-Schnittstellen.

Richtlinienbasierte VPNs können nicht verwendet werden, wenn NAT für tunnelten Datenverkehr erforderlich ist.

Proxy-ID wird sowohl für routenbasierte als auch für richtlinienbasierte VPNs unterstützt. Routenbasierte Tunnel bieten auch die Verwendung mehrerer Datenverkehrs-Selektoren, auch bekannt als Multi-Proxy-ID. Ein Datenverkehrsauswahl ist eine Vereinbarung zwischen IKE-Peers, um Datenverkehr durch einen Tunnel zuzulassen, wenn der Datenverkehr einem angegebenen Paar aus lokalem und Remote-IP-Adresspräfix, Quellportbereich, Zielportbereich und Protokoll entspricht. Sie definieren einen Datenverkehrsauswahl innerhalb eines bestimmten routenbasierten VPN, was zu mehreren Phase-2-IPsec-SAs führen kann. Nur Datenverkehr, der mit einer Datenverkehrsauswahl übereinstimmt, ist über eine SA zulässig. Die Datenverkehrsauswahl ist in der Regel erforderlich, wenn Remote-Gateway-Geräte Nicht-Juniper Networks-Geräte sind.

Richtlinienbasierte VPNs werden nur auf SRX5400-, SRX5600- und SRX5800-Geräten unterstützt. Die Plattformunterstützung hängt von der Version von Junos OS in Ihrer Installation ab.