Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ポリシーベースとルートベースのVPNの比較

このトピックを読み、ポリシーベースVPNとルートベースVPNの違いを理解しましょう。

ポリシーベースとルートベースのVPNの違いを理解する必要があって、他方が望まれる理由を知っておくことが必要です。

表 1ルートベースVPNとポリシーベースのVPNの違いを一覧表示します。

表 1: ルートベースVPNとポリシーベースのVPNの違い

ルートベースVPN

ポリシーベースVPN

ルートベースVPNでは、ポリシーはVPNトンネルを具体的に参照しません。

ポリシーベースのVPNトンネルでは、トンネルは送信元、宛先、アプリケーションおよびアクションとともに、VPNトラフィックを許可するトンネルポリシーを構成するオブジェクトとして扱われます。

ポリシーは、宛先アドレスを参照しています。

ポリシーベースのVPN構成では、トンネルポリシーはVPNトンネルを名前で参照しています。

作成するルートベースVPNトンネルの数は、ルートエントリーの数またはデバイスがサポートするst0インターフェイスの数(最少値)に制限されます。

作成できるポリシーベースのVPNトンネルの数は、デバイスがサポートするポリシー数によって制限されます。

ルートベースVPNトンネル構成は、VPNトラフィックの詳細な制限を設定し、トンネルリソースを節約する場合、適切な選択になります。

ポリシーベースのVPNでは、同じVPNトンネルを参照する多数のトンネルポリシーを作成できますが、各トンネルポリシーのペアは、リモートピアとともに個々のIPsecセキュリティアソシエーション(SA)を作成します。各SAは、個別のVPNトンネルとしてカウントされます。

VPNへのルートベースのアプローチでは、トラフィックの規制は配信手段と連動しません。数十数のポリシーを設定して、2つのサイト間の単一のVPNトンネルを通過するトラフィックを規制することができます。IPsecSAは1つだけ制作されます。また、ルートベースVPN構成では、アクションが拒否されているVPNトンネルを介して到達する宛先を参照するポリシーを作成できます。

ポリシーベースのVPN構成では、アクションを許可してトンネルを含める必要があります。

ルートベースVPNでは、VPNトンネルを介した動的なルーティング情報の交換をサポートしています。VPNトンネルにバインドされたst0インターフェイス上で、OSPFなどの動的ルーティングプロトコルのインスタンスを有効にすることができます。

ポリシーベースVPNでは、動的なルーティング情報の交換をサポートしていません。

ルートベース構成は、ハブアンドスポークスのトポロジーに使用されます。

ポリシーベースのVPNは、ハブアンドスポークトポロジーには使用できません。

ルートベースVPNでは、ポリシーはVPNトンネルを具体的に参照しません。

トンネルが動的ルーティングプロトコルを実行する大規模ネットワークを接続しておらず、トンネルを節約したり、トンネルを介してトラフィックをフィルタリングするポリシーを定義する必要がない場合は、ポリシーベースのトンネルが最適です。

ルートベースVPNは、リモートアクセス(ダイヤルアップ)VPN構成をサポートしていません。

リモートアクセス(ダイヤルアップ)VPN構成には、ポリシーベースのVPNトンネルが必要です。

ルートベースVPNは、一部の第三者のベンダーでは正しく動作しない可能性があります。

ポリシーベースのVPNは、第三者が各リモートサブネットごとに個別のSAを必要としている場合、必須となる可能性があります。

セキュリティデバイスが、アドレスに到達するためにトラフィックを送信する必要があるインターフェースを検索するためのルートルックアップを実行する場合、特定のVPNトンネルにバインドされた安全なトンネルインターフェイス(st0)を介したルートを見つけます。

ルートベースVPNトンネルでは、トンネルをトラフィック配信手段と見なし、ポリシーをトラフィック配信の許可または拒否の手段と見なすことができます。

ポリシーベースVPNトンネルでは、トンネルをポリシーの構成要素とみなすことができます。

ルートベースVPNは、st0インターフェイスのNATをサポートします。

ポリシーベースのVPNは、トンネルトラフィックにNATが必要な場合、使用できません。

プロキシーIDは、ルートベースとポリシーベースの両方のVPNでサポートされます。ルートベーストンネルは、マルチプロキシIDとも呼ばれる複数のトラフィックセレクターも使用できます。トラフィックセレクターは、指定されたローカルおよびリモートIPアドレスプレフィックスのペア、送信元ポート範囲、宛先ポート範囲およびプロトコルが一致する場合に、トンネルを通過するトラフィックを許可するIKEピアの合意です。特定のルートベースVPN内でトラフィックセレクターを定義すると、複数のフェーズ2IPsecSAが生成されることがあります。トラフィックセレクターに適合したトラフィックのみがSAを介して許可されます。トラフィックセレクターは、リモートゲートウェイデバイスがジュニパーネットワークス以外のデバイスである場合によく必要とされます。

関連項目