Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

ポリシーベース VPN とルートベース VPN の比較

 Note

ポリシーベース VPN は、SRX5400、SRX5600、SRX5800 デバイスでのみサポートされています。プラットフォームのサポートは、インストールされた Junos OS のリリースによって異なります。

Table 1 に、ポリシーベース VPN とルートベース VPN の違いについてまとめてあります。

Table 1: ポリシーベース VPN とルートベース VPN の比較

ポリシーベース VPN

ルートベース VPN

ポリシーベース VPN では、トンネルは、送信元、宛先、アプリケーション、アクションとともに、VPN トラフィックを許可するトンネル ポリシーを構成するオブジェクトとして扱われます。

ルートベース VPN では、ポリシーは VPN トンネルを具体的に参照しません。

トンネル ポリシーは、VPN トンネルを具体的に名前で参照します。

ルートは、宛先 IP アドレスに基づき、トンネルを介して送信されるトラフィックを決定します。

作成できるポリシーベースの VPN トンネルの数は、デバイスがサポートするトンネル数によって制限されます。

作成するルートベースの VPN トンネルの数は、st0 インターフェイスの数(ポイントツーポイント VPN の場合)またはデバイスがサポートするトンネル数(どちらか少ない方)によって制限されます。

ポリシーベースの VPN では、同じ VPN トンネルを参照する多数のトンネル ポリシーを作成できますが、各トンネル ポリシーのペアは、リモート ピアとともに個々の IPsec SA を作成します。各 SA は、個別の VPN トンネルとしてカウントされます。

トンネルを通過するトラフィックは、ポリシーではなくルートにより決定されるため、1 つの SA または VPN で複数のポリシーをサポートできます。

ポリシーベース VPN では、アクションが許可され、トンネルが含まれている必要があります。

ルートベース VPN では、トラフィックの規制はその配信方法と連携していません。

ポリシーベース VPN では、動的なルーティング情報の交換をサポートしていません。

ルートベース VPN では、VPN トンネルを介した動的なルーティング情報の交換をサポートしています。VPN トンネルにバインドされた st0 インターフェイス上で、OSPF などの動的ルーティング プロトコルのインスタンスを有効にすることができます。

トンネルに送信されるトラフィックを指定するためにルートが提供できる以上のきめ細かな制御を行う必要がある場合は、セキュリティ ポリシーに基づいたポリシーベース VPN の使用が最適です。

ルートベース VPN は、ルートを使って、トンネルに送信されるトラフィックを指定します。ポリシーは、VPN トンネルを具体的に参照しません。

ポリシーベース VPN トンネルでは、トンネルをポリシーの構成要素とみなすことができます。

セキュリティ デバイスがルート ルックアップを実行して、アドレスへのトラフィック送信に必要なインターフェイスを見つける場合、セキュア トンネル(st0)インターフェイスを介したルートが検出されます。

ルートベース VPN トンネルでは、トンネルをトラフィック配信手段と見なし、ポリシーをトラフィック配信の許可または拒否の手段と見なします。