Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comparación de VPN basadas en políticas y basadas en rutas

Es importante comprender las diferencias entre las VPN basadas en políticas y basadas en rutas, y por qué una puede ser preferible a la otra.

Tabla 1 enumera las diferencias entre las VPN basadas en rutas y las VPN basadas en políticas.

Tabla 1: Diferencias entre VPN basadas en ruta y VPN basadas en políticas

VPN basadas en ruta

VPN basadas en políticas

Con las VPN basadas en rutas, una política no hace referencia específicamente a un túnel VPN.

Con los túneles VPN basados en políticas, un túnel se trata como un objeto que, junto con el origen, el destino, la aplicación y la acción, constituye una política de túnel que permite el tráfico VPN.

La directiva hace referencia a una dirección de destino.

En una configuración de VPN basada en políticas, una política de túnel hace referencia específicamente a un túnel VPN por nombre.

El número de túneles VPN basados en rutas que cree estará limitado por el número de entradas de ruta o el número de interfaces st0 admitidas por el dispositivo, el número que sea menor.

El número de túneles VPN basados en políticas que puede crear está limitado por el número de directivas admitidas por el dispositivo.

La configuración de túnel VPN basada en rutas es una buena opción cuando desea conservar los recursos del túnel mientras establece restricciones granulares en el tráfico VPN.

Con una VPN basada en políticas, aunque puede crear varias políticas de túnel que hagan referencia al mismo túnel VPN, cada par de políticas de túnel crea una asociación de seguridad (SA) IPsec individual con el par remoto. Cada SA cuenta como un túnel VPN individual.

Con un enfoque basado en rutas para las VPN, la regulación del tráfico no está acoplada a los medios de su entrega. Puede configurar docenas de directivas para regular el tráfico que fluye a través de un único túnel VPN entre dos sitios, y solo hay una SA IPsec en funcionamiento. Además, una configuración de VPN basada en rutas le permite crear políticas que hagan referencia a un destino al que se llega a través de un túnel VPN en el que la acción es denegar.

En una configuración VPN basada en políticas, la acción debe permitirse y debe incluir un túnel.

Las VPN basadas en ruta admiten el intercambio de información de enrutamiento dinámico a través de túneles VPN. Puede habilitar una instancia de un protocolo de enrutamiento dinámico, como OSPF, en una interfaz st0 que esté enlazada a un túnel VPN.

El intercambio de información de enrutamiento dinámico no se admite en las VPN basadas en políticas.

Las configuraciones basadas en rutas se utilizan para las topologías radiales.

Las VPN basadas en políticas no se pueden usar para topologías radiales.

Con las VPN basadas en rutas, una política no hace referencia específicamente a un túnel VPN.

Cuando un túnel no conecta redes grandes que ejecutan protocolos de enrutamiento dinámico y no es necesario conservar túneles ni definir varias políticas para filtrar el tráfico a través del túnel, la mejor opción es un túnel basado en políticas.

Las VPN basadas en ruta no admiten configuraciones de VPN de acceso remoto (acceso telefónico).

Los túneles VPN basados en políticas son necesarios para las configuraciones de VPN de acceso remoto (acceso telefónico).

Es posible que las VPN basadas en rutas no funcionen correctamente con algunos proveedores externos.

Es posible que se requieran VPN basadas en políticas si el tercero requiere SA independientes para cada subred remota.

Cuando el dispositivo de seguridad realiza una búsqueda de ruta para encontrar la interfaz a través de la cual debe enviar tráfico para llegar a una dirección, encuentra una ruta a través de una interfaz de túnel seguro () , que está enlazada a un túnel VPN específico.st0

Con un túnel de VPN basado en rutas, puede considerar un túnel como un medio para entregar el tráfico y puede considerar la política como un método para permitir o denegar la entrega de ese tráfico.

Con un túnel VPN basado en políticas, puede considerar un túnel como un elemento en la construcción de una política.

Las VPN basadas en rutas admiten NAT para interfaces st0.

Las VPN basadas en políticas no se pueden usar si se requiere NAT para el tráfico tunelizado.

El ID de proxy es compatible con VPN basadas en rutas y en políticas. Los túneles basados en rutas también ofrecen el uso de múltiples selectores de tráfico, también conocidos como ID de proxy múltiple. Un selector de tráfico es un acuerdo entre pares de IKE para permitir el tráfico a través de un túnel, si el tráfico coincide con un par especificado de prefijo de dirección IP local y remota, intervalo de puertos de origen, intervalo de puertos de destino y protocolo. Puede definir un selector de tráfico dentro de una VPN basada en ruta específica, lo que puede dar lugar a varias SA IPsec de fase 2. Solo se permite el tráfico que se ajuste a un selector de tráfico a través de una SA. El selector de tráfico suele ser necesario cuando los dispositivos de puerta de enlace remota no son dispositivos de Juniper Networks.

Las VPN basadas en políticas solo se admiten en SRX5400, SRX5600 y SRX5800 línea. La compatibilidad de plataforma depende de la versión de Junos OS en su instalación.

Temas relacionados