Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

정책 기반 VPN과 경로 기반 VPN 비교

정책 기반 VPN과 경로 기반 VPN의 차이점을 이해하고 다른 VPN보다 선호되는 이유를 이해하는 것이 중요합니다.

표 1에는 경로 기반 VPN과 정책 기반 VPN의 차이점이 나와 있습니다.

표 1: 경로 기반 VPN과 정책 기반 VPN의 차이점

경로 기반 VPN

정책 기반 VPN

경로 기반 VPN의 경우 정책이 VPN 터널을 구체적으로 참조하지 않습니다.

정책 기반 VPN 터널에서는 터널이 소스, 대상, 애플리케이션 및 작업과 함께 VPN 트래픽을 허용하는 터널 정책을 구성하는 개체로 취급됩니다.

정책은 대상 주소를 참조합니다.

정책 기반 VPN 구성에서 터널 정책은 이름별로 VPN 터널을 참조합니다.

생성하는 경로 기반 VPN 터널의 수는 디바이스가 지원하는 경로 항목의 수 또는 st0 인터페이스의 수(낮은 수)에 따라 제한됩니다.

생성할 수 있는 정책 기반 VPN 터널 수는 디바이스에서 지원하는 정책 수에 따라 제한됩니다.

경로 기반 VPN 터널 구성은 VPN 트래픽에 대해 세부적인 제한을 설정하면서 터널 리소스를 보존하려는 경우에 적합합니다.

정책 기반 VPN의 경우 동일한 VPN 터널을 참조하는 여러 터널 정책을 생성할 수 있지만 각 터널 정책 쌍은 원격 피어와 개별 SA(IPsec Security Association)를 생성합니다. 각 SA는 개별 VPN 터널으로 간주됩니다.

VPN에 대한 경로 기반 접근법을 사용하면 트래픽 규제가 전달 수단과 연결되지 않습니다. 두 사이트 간에 단일 VPN 터널을 통과하는 트래픽 흐름을 규제하도록 수십 개의 정책을 구성할 수 있으며, 하나의 IPsec SA만 작동합니다. 또한 경로 기반 VPN 구성을 사용하면 작업이 거부되는 VPN 터널을 통해 도달한 대상을 참조하는 정책을 만들 수 있습니다.

정책 기반 VPN 구성에서 작업은 허용되어야 하며 터널을 포함해야 합니다.

경로 기반 VPN은 VPN 터널을 통해 동적 라우팅 정보 교환을 지원합니다. VPN 터널과 바인딩 된 st0 인터페이스에 최단 경로 우선(OSPF)과 같은 동적 라우팅 프로토콜의 인스턴스를 활성화할 수 있습니다.

동적 라우팅 정보의 교환은 정책 기반 VPN에서 지원되지 않습니다.

경로 기반 구성은 허브 앤 스포크 토폴로지에 사용됩니다.

정책 기반 VPN은 허브 앤 스포크 토폴로지에 사용할 수 없습니다.

경로 기반 VPN의 경우 정책이 VPN 터널을 구체적으로 참조하지 않습니다.

터널이 동적 라우팅 프로토콜을 실행하는 대규모 네트워크를 연결하지 않고 터널을 보존하거나 터널을 통과하는 트래픽을 필터링하기 위해 다양한 정책을 정의할 필요가 없는 경우 정책 기반 터널을 선택하는 것이 가장 좋습니다.

경로 기반 VPN은 원격 액세스(전화 접속) VPN 구성을 지원하지 않습니다.

정책 기반 VPN 터널은 원격 액세스(전화 접속) VPN 구성에 필요합니다.

경로 기반 VPN이 일부 타사 벤더에서 제대로 작동하지 않을 수 있습니다.

타사에서 각 원격 서브넷에 대해 별도의 SA를 필요로 하는 경우 licy 기반 VPN이 필요할 수 있습니다.

보안 디바이스는 주소에 도달하기 위해 트래픽을 전송해야 하는 인터페이스를 찾기 위해 경로 검색을 수행할 때 특정 VPN 터널에 바인딩된 보안 터널 인터페이스(st0)를 통해 경로를 찾습니다.

경로 기반 VPN 터널과 함께 터널을 트래픽 전달 수단으로 고려할 수 있으며, 정책을 해당 트래픽 전달을 허용하거나 거부하는 방식으로 고려할 수 있습니다.

정책 기반 VPN 터널과 함께 터널을 정책 건설의 요소로 고려할 수 있습니다.

경로 기반 VPN은 st0 인터페이스에 대해 NAT을 지원합니다.

터널링된 트래픽에 NAT이 필요한 경우 정책 기반 VPN을 사용할 수 없습니다.

프록시 ID는 경로 기반 VPN과 정책 기반 VPN 모두에서 지원됩니다. 또한 경로 기반 터널은 다중 프록시 ID라고도 하는 여러 트래픽 선택기를 사용할 수 있습니다. 트래픽 선택기는 트래픽이 로컬 및 원격 IP 주소 접두사, 소스 포트 범위, 대상 포트 범위 및 프로토콜의 지정된 쌍과 일치하는 경우 터널을 통과하는 트래픽을 허용하는 IKE 피어 간의 계약입니다. 특정 경로 기반 VPN 내에서 트래픽 선택기를 정의하면 여러 단계 2 IPsec SA가 발생할 수 있습니다. 트래픽 선택기를 준수하는 트래픽만 SA를 통해 허용됩니다. 원격 게이트웨이 디바이스가 주니퍼 네트워크 디바이스가 아닌 경우 일반적으로 트래픽 선택기가 필요합니다.

정책 기반 VPN은 SRX5400, SRX5600 및 SRX5800 라인에서만 지원됩니다. 플랫폼 지원은 설치한 Junos OS 릴리스에 따라 다릅니다.