ポリシーベースとルートベースのVPNの比較
ポリシーベースとルートベースのVPNの違いを理解する必要があって、他方が望まれる理由を知っておくことが必要です。
表 1ルートベースVPNとポリシーベースのVPNの違いを一覧表示します。
ルートベース VPN |
ポリシーベース VPN |
---|---|
ルートベース VPN では、ポリシーは VPN トンネルを具体的に参照しません。 |
ポリシーベースのVPNトンネルでは、トンネルは送信元、宛先、アプリケーションおよびアクションとともに、VPNトラフィックを許可するトンネルポリシーを構成するオブジェクトとして扱われます。 |
ポリシーは、宛先アドレスを参照しています。 |
ポリシーベースの VPN構成では、トンネルポリシーは VPN トンネルを名前で参照しています。 |
作成するルートベース VPN トンネルの数は、ルートエントリーの数またはデバイスがサポートする st0 インターフェイスの数(最少値)に制限されます。 |
作成できるポリシーベースの VPN トンネルの数は、デバイスがサポートするポリシー数によって制限されます。 |
ルートベース VPN トンネル構成は、VPN トラフィックの詳細な制限を設定し、トンネル リソースを節約する場合、適切な選択になります。 |
ポリシーベースの VPN では、同じ VPN トンネルを参照する多数のトンネル ポリシーを作成できますが、各トンネル ポリシーのペアは、リモート ピアとともに個々の IPsec セキュリティアソシエーション (SA) を作成します。各 SA は、個別の VPN トンネルとしてカウントされます。 |
ルートベース方法により、トラフィックの規制は配信手段と相まれません。数十数のポリシーを設定して、2 つのサイト間の単一のVPNトンネルを通過するトラフィックを規制することができます。IPsec SAは 1 つだけ制作されます。また、ルートベース VPN 構成では、アクションが拒否されている VPN トンネルを介して到達する宛先を参照するポリシーを作成できます。 |
ポリシーベースの VPN構成では、アクションは許可されて、トンネルを含める必要があります。 |
ルートベース VPN では、VPN トンネルを介した動的なルーティング情報の交換をサポートしています。VPN トンネルにバインドされた st0 インターフェイス上で、OSPF などの動的ルーティング プロトコルのインスタンスを有効にすることができます。 |
ポリシーベースVPNでは、動的なルーティング情報の交換をサポートしていません。 |
ルートベース構成は、ハブアンドスポークスのトポロジーに使用されます。 |
ポリシーベースの VPNは、ハブアンドスポーク トポロジーには使用できません。 |
ルートベース VPN では、ポリシーは VPN トンネルを具体的に参照しません。 |
トンネルが動的ルーティングプロトコルを実行する大規模ネットワークを接続しなくて、トンネルを介して、トラフィックをフィルタリングするポリシーを定義する必要がない場合、ポリシーベースのトンネルが最適です。 |
ルートベース VPNは、リモートアクセス(ダイヤルアップ) VPN構成をサポートしていません。 |
ポリシーベースの VPN トンネルは、リモートアクセス(ダイヤルアップ) VPN 構成には必要です。 |
ルートベース VPNは、一部の第三者のベンダーでは正しく動作しない可能性があります。 |
ポリシーベースの VPNは、第三者が各リモートサブネットごとに個別の SA を必要としている場合、必須となる可能性があります。 |
セキュリティデバイスはルートルックアップで アドレスに到達するようなトラフィックを送信する必要がある場合、特定なVPN トンネルにに限界された安全なトンネル インターフェイス( ルートベース VPN トンネルでは、トンネルをトラフィック配信手段と見なし、ポリシーをトラフィック配信の許可または拒否の手段と見なします。 |
ポリシーベースVPNトンネルでは、トンネルをポリシーの構成要素とみなすことができます。 |
ルートベース VPNは、st0インターフェイスのNATをサポートします。 |
ポリシーベースの VPNは、トンネルトラフィックにNATが必要な場合、使用できません。 |
プロキシー ID は、ルートベースとポリシーベースの両方の VPN でサポートされます。ルートベーストンネルは、マルチプロキシ ID とも呼ばれる複数のトラフィック セレクターの使用も提供します。トラフィック セレクターは、指定されたローカルおよびリモート IP アドレスプレフィックス、送信元ポート範囲、宛先ポート範囲そしてプロトコルが一致する場合、トラフィックを許可する IKE ピアの合意です。特定のルートベース VPN 内でトラフィック セレクターを定義すると、複数のフェーズ 2 IPsec SA が生成されることがあります。トラフィック セレクターに適合したトラフィックのみが SA を介して許可されます。トラフィック セレクターは、リモート ゲートウェイ デバイスがジュニパーネットワークス以外のデバイスである場合によく必要とされます。
ポリシーベースのVPN は、SRX5400、SRX5600、SRX5800シリーズでのみサポートされます。プラットフォームのサポートは、インストールされた Junos OS のリリースによって異なります。