정책 기반 VPN과 경로 기반 VPN 비교
정책 기반 VPN과 경로 기반 VPN의 차이점을 이해하고 다른 VPN보다 선호되는 이유를 이해하는 것이 중요합니다.
표 1에는 경로 기반 VPN과 정책 기반 VPN의 차이점이 나와 있습니다.
경로 기반 VPN |
정책 기반 VPN |
---|---|
경로 기반 VPN의 경우 정책이 VPN 터널을 구체적으로 참조하지 않습니다. |
정책 기반 VPN 터널에서는 터널이 소스, 대상, 애플리케이션 및 작업과 함께 VPN 트래픽을 허용하는 터널 정책을 구성하는 개체로 취급됩니다. |
정책은 대상 주소를 참조합니다. |
정책 기반 VPN 구성에서 터널 정책은 이름별로 VPN 터널을 참조합니다. |
생성하는 경로 기반 VPN 터널의 수는 디바이스가 지원하는 경로 항목의 수 또는 st0 인터페이스의 수(낮은 수)에 따라 제한됩니다. |
생성할 수 있는 정책 기반 VPN 터널 수는 디바이스에서 지원하는 정책 수에 따라 제한됩니다. |
경로 기반 VPN 터널 구성은 VPN 트래픽에 대해 세부적인 제한을 설정하면서 터널 리소스를 보존하려는 경우에 적합합니다. |
정책 기반 VPN의 경우 동일한 VPN 터널을 참조하는 여러 터널 정책을 생성할 수 있지만 각 터널 정책 쌍은 원격 피어와 개별 SA(IPsec Security Association)를 생성합니다. 각 SA는 개별 VPN 터널으로 간주됩니다. |
VPN에 대한 경로 기반 접근법을 사용하면 트래픽 규제가 전달 수단과 연결되지 않습니다. 두 사이트 간에 단일 VPN 터널을 통과하는 트래픽 흐름을 규제하도록 수십 개의 정책을 구성할 수 있으며, 하나의 IPsec SA만 작동합니다. 또한 경로 기반 VPN 구성을 사용하면 작업이 거부되는 VPN 터널을 통해 도달한 대상을 참조하는 정책을 만들 수 있습니다. |
정책 기반 VPN 구성에서 작업은 허용되어야 하며 터널을 포함해야 합니다. |
경로 기반 VPN은 VPN 터널을 통해 동적 라우팅 정보 교환을 지원합니다. VPN 터널과 바인딩 된 st0 인터페이스에 최단 경로 우선(OSPF)과 같은 동적 라우팅 프로토콜의 인스턴스를 활성화할 수 있습니다. |
동적 라우팅 정보의 교환은 정책 기반 VPN에서 지원되지 않습니다. |
경로 기반 구성은 허브 앤 스포크 토폴로지에 사용됩니다. |
정책 기반 VPN은 허브 앤 스포크 토폴로지에 사용할 수 없습니다. |
경로 기반 VPN의 경우 정책이 VPN 터널을 구체적으로 참조하지 않습니다. |
터널이 동적 라우팅 프로토콜을 실행하는 대규모 네트워크를 연결하지 않고 터널을 보존하거나 터널을 통과하는 트래픽을 필터링하기 위해 다양한 정책을 정의할 필요가 없는 경우 정책 기반 터널을 선택하는 것이 가장 좋습니다. |
경로 기반 VPN은 원격 액세스(전화 접속) VPN 구성을 지원하지 않습니다. |
정책 기반 VPN 터널은 원격 액세스(전화 접속) VPN 구성에 필요합니다. |
경로 기반 VPN이 일부 타사 벤더에서 제대로 작동하지 않을 수 있습니다. |
타사에서 각 원격 서브넷에 대해 별도의 SA를 필요로 하는 경우 licy 기반 VPN이 필요할 수 있습니다. |
보안 디바이스는 주소에 도달하기 위해 트래픽을 전송해야 하는 인터페이스를 찾기 위해 경로 검색을 수행할 때 특정 VPN 터널에 바인딩된 보안 터널 인터페이스( 경로 기반 VPN 터널과 함께 터널을 트래픽 전달 수단으로 고려할 수 있으며, 정책을 해당 트래픽 전달을 허용하거나 거부하는 방식으로 고려할 수 있습니다. |
정책 기반 VPN 터널과 함께 터널을 정책 건설의 요소로 고려할 수 있습니다. |
경로 기반 VPN은 st0 인터페이스에 대해 NAT을 지원합니다. |
터널링된 트래픽에 NAT이 필요한 경우 정책 기반 VPN을 사용할 수 없습니다. |
프록시 ID는 경로 기반 VPN과 정책 기반 VPN 모두에서 지원됩니다. 또한 경로 기반 터널은 다중 프록시 ID라고도 하는 여러 트래픽 선택기를 사용할 수 있습니다. 트래픽 선택기는 트래픽이 로컬 및 원격 IP 주소 접두사, 소스 포트 범위, 대상 포트 범위 및 프로토콜의 지정된 쌍과 일치하는 경우 터널을 통과하는 트래픽을 허용하는 IKE 피어 간의 계약입니다. 특정 경로 기반 VPN 내에서 트래픽 선택기를 정의하면 여러 단계 2 IPsec SA가 발생할 수 있습니다. 트래픽 선택기를 준수하는 트래픽만 SA를 통해 허용됩니다. 원격 게이트웨이 디바이스가 주니퍼 네트워크 디바이스가 아닌 경우 일반적으로 트래픽 선택기가 필요합니다.
정책 기반 VPN은 SRX5400, SRX5600 및 SRX5800 라인에서만 지원됩니다. 플랫폼 지원은 설치한 Junos OS 릴리스에 따라 다릅니다.