Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comparaison des VPN basés sur les stratégies et ceux basés sur le routage

Il est important de comprendre les différences entre les VPN basés sur la politique et ceux basés sur le routage et pourquoi l’un peut être préférable à l’autre.

Tableau 1 répertorie les différences entre les VPN basés sur le routage et les VPN basés sur des stratégies.

Tableau 1 : Différences entre les VPN basés sur le routage et les VPN basés sur des stratégies

VPN basés sur le routage

VPN basés sur des stratégies

Avec les VPN basés sur le routage, une stratégie ne fait pas spécifiquement référence à un tunnel VPN.

Avec les tunnels VPN basés sur des stratégies, un tunnel est traité comme un objet qui, avec la source, la destination, l’application et l’action, constitue une stratégie de tunnel qui autorise le trafic VPN.

La stratégie fait référence à une adresse de destination.

Dans une configuration VPN basée sur des stratégies, une stratégie de tunnel fait spécifiquement référence à un tunnel VPN par son nom.

Le nombre de tunnels VPN basés sur le routage que vous créez est limité par le nombre d’entrées de route ou le nombre d’interfaces st0 prises en charge par l’appareil, le nombre le plus bas étant retenu.

Le nombre de tunnels VPN basés sur des stratégies que vous pouvez créer est limité par le nombre de stratégies prises en charge par l’appareil.

La configuration de tunnel VPN basée sur le routage est un bon choix lorsque vous souhaitez économiser les ressources du tunnel tout en définissant des restrictions granulaires sur le trafic VPN.

Avec un VPN basé sur des stratégies, bien que vous puissiez créer plusieurs stratégies de tunnel référençant le même tunnel VPN, chaque paire de stratégies de tunnel crée une association de sécurité IPsec (SA) individuelle avec l’homologue distant. Chaque SA compte comme un tunnel VPN individuel.

Avec une approche des VPN basée sur le routage, la régulation du trafic n’est pas couplée aux moyens de livraison. Vous pouvez configurer des dizaines de stratégies pour réguler le trafic circulant via un seul tunnel VPN entre deux sites, et une seule SA IPsec est à l’œuvre. En outre, une configuration VPN basée sur le routage vous permet de créer des stratégies référençant une destination atteinte par le biais d’un tunnel VPN dans laquelle l’action est refusé.

Dans une configuration VPN basée sur une stratégie, l’action doit être autorisée et doit inclure un tunnel.

Les VPN basés sur le routage prennent en charge l’échange d’informations de routage dynamique via les tunnels VPN. Vous pouvez activer une instance d’un protocole de routage dynamique, tel qu’OSPF, sur une interface st0 liée à un tunnel VPN.

L’échange d’informations de routage dynamique n’est pas pris en charge dans les VPN basés sur des stratégies.

Les configurations basées sur le routage sont utilisées pour les topologies en étoile.

Les VPN basés sur des stratégies ne peuvent pas être utilisés pour les topologies en étoile.

Avec les VPN basés sur le routage, une stratégie ne fait pas spécifiquement référence à un tunnel VPN.

Lorsqu’un tunnel ne connecte pas de grands réseaux exécutant des protocoles de routage dynamique et que vous n’avez pas besoin de conserver des tunnels ou de définir diverses stratégies pour filtrer le trafic à travers le tunnel, un tunnel basé sur des stratégies est le meilleur choix.

Les VPN basés sur le routage ne prennent pas en charge les configurations VPN d’accès à distance (commutées).

Des tunnels VPN basés sur des stratégies sont nécessaires pour les configurations VPN d’accès à distance (commutée).

Les VPN basés sur le routage peuvent ne pas fonctionner correctement avec certains fournisseurs tiers.

Des VPN basés sur des stratégies peuvent être nécessaires si le tiers a besoin de SA distinctes pour chaque sous-réseau distant.

Lorsque l’équipement de sécurité effectue une recherche d’itinéraire pour trouver l’interface par laquelle il doit envoyer le trafic pour atteindre une adresse, il trouve un itinéraire via une interface de tunnel sécurisée (st0) , qui est liée à un tunnel VPN spécifique.

Dans le cas d’un tunnel VPN basé sur le routage, vous pouvez considérer un tunnel comme un moyen de distribuer le trafic, et vous pouvez considérer la stratégie comme une méthode permettant d’autoriser ou de refuser la distribution de ce trafic.

Avec un tunnel VPN basé sur des stratégies, vous pouvez considérer un tunnel comme un élément dans la construction d’une stratégie.

Les VPN basés sur le routage prennent en charge le NAT pour les interfaces st0.

Les VPN basés sur des stratégies ne peuvent pas être utilisés si NAT est requis pour le trafic tunnelisé.

L’ID de proxy est pris en charge pour les VPN basés sur l’itinéraire et les VPN basés sur des stratégies. Les tunnels basés sur le routage utilisent également plusieurs sélecteurs de trafic, également appelés ID multiproxy. Un sélecteur de trafic est un accord entre des homologues IKE pour autoriser le trafic à traverser un tunnel, si le trafic correspond à une paire spécifiée de préfixe d’adresse IP locale et distante, de plage de ports source, de plage de ports de destination et de protocole. Vous définissez un sélecteur de trafic au sein d’un VPN basé sur le routage spécifique, ce qui peut entraîner plusieurs SA IPsec de phase 2. Seul le trafic conforme à un sélecteur de trafic est autorisé par le biais d’une SA. Le sélecteur de trafic est généralement requis lorsque les périphériques de passerelle distante sont des équipements non-Juniper Networks.

Les VPN basés sur des stratégies ne sont pris en charge que sur SRX5400, SRX5600 et SRX5800 ligne. La prise en charge de la plate-forme dépend de la version de Junos OS dans votre installation.

Rubriques connexes