Vergleich von richtlinienbasierten und routenbasierten VPNs
Sie können je nach Ihren Netzwerkanforderungen richtlinien- und routenbasierte IPsec-VPNs verwenden.
Tipp
Wir empfehlen die Verwendung routenbasierter VPNs anstelle richtlinienbasierter VPNs.
Darüber hinaus sind routenbasierte VPNs mit lokalen und Remote-Subnetzen auf Beliebig oder mit IP-Version eingestellt auf Dual ermöglichen Ihnen die Konfiguration von Routen für diese Verbindungen, bieten Flexibilität und minimieren Ausfallzeiten im Zusammenhang mit Netzwerkänderungen.
Vergleich der Objekte
Einen Vergleich der folgenden VPN-Verbindungstypen finden Sie in den Tabellen:
- Routenbasierte VPNs mit den lokalen und Remote-Subnetzen auf Beliebig.
- Routenbasierte VPNs mit Verkehrsselektoren (Hosts oder Subnetze) für die lokalen und Remote-Subnetze.
- Richtlinienbasierte VPNs.
Anzahl der virtuellen Schnittstellen
| Routenbasiertes VPN (Any-to-Any-Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
| Erstellt eine XFRM-Schnittstelle für jede routenbasierte VPN-Konfiguration und vereinfacht so das Debuggen. Sie haben mehr Kontrolle über die MTU. | Erstellt eine XFRM-Schnittstelle für jede routenbasierte VPN-Konfiguration und vereinfacht so das Debuggen. Sie haben mehr Kontrolle über die MTU. | Erstellt eine einzelne IPsec-Schnittstelle für alle richtlinienbasierten VPN-Verbindungen. Der TCP-Dump zeigt diese IPsec-Schnittstelle nur für alle richtlinienbasierten Verbindungen an. |
Anzahl der Tunnel
| Routenbasiertes VPN (Any-to-Any-Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
| Erstellt einen einzelnen Phase-2-Tunnel für jede XFRM-Schnittstelle und spart so Ressourcen. Erstellt zwei Tunnel (für IPv4 und IPv6), wenn Sie IP-Version Zu Dual. | Erstellt einen Phase-2-Tunnel für jedes Paar aus lokalen und Remote-Subnetzen und erfordert mehr Ressourcen. | Dasselbe wie routenbasiertes VPN (Verkehrsselektoren). |
Verkehr in den Tunnel
| Routenbasiertes VPN (Any-to-Any-Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
| Der Datenverkehr entspricht der Quelle, dem Ziel und anderen Einstellungen, die Sie in den entsprechenden Routen angeben. | Der Datenverkehr, der die XFRM-Schnittstelle erreicht, wird mit den konfigurierten Datenverkehrsselektoren abgeglichen. | Der VPN-Verkehr, der die Abhörschnittstelle erreicht, wird mit den Verkehrsselektoren (in der Konfiguration angegebene lokale und Remote-Subnetze) abgeglichen. |
Routen
| Routenbasiertes VPN (Any-to-Any-Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
| Sie müssen statische, SD-WAN- oder dynamische Routen wie RIP-, OSPF- und BGP-Routen konfigurieren, um den an die XFRM-Schnittstelle zu sendenden Datenverkehr zu bestimmen. | Die Firewall konfiguriert automatisch eine statische Route, wenn der Tunnel hergestellt ist. | Die Firewall erstellt automatisch eine VPN-Route im Backend, wenn der Tunnel eingerichtet ist. Sie müssen die ipsec_route Befehl auf der CLI für bestimmte Arten von Datenverkehr. Siehe Routing und NAT für IPsec-Tunnel. |
Firewall-Regeln
| Routenbasiertes VPN (Any-to-Any-Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
| Eingehende und ausgehende Firewall-Regeln für die VPN-Zone steuern den Zugriff basierend auf den Quell- und Zielnetzwerken, Diensten, Benutzern und Anwendungen. | Dasselbe wie routenbasiertes VPN (Any-to-Any-Tunnel). | Dasselbe wie routenbasiertes VPN (Any-to-Any-Tunnel). |
NAT für überlappende Subnetze
| Routenbasiertes VPN (Any-to-Any-Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
| Sie müssen SNAT- und DNAT-Regeln konfigurieren (Regeln und Richtlinien > NAT-Regeln) für überlappende Subnetze. | NAT-Einstellung in der IPsec-Konfiguration für überlappende Subnetze. | Dasselbe wie routenbasiertes VPN (Verkehrsselektoren). |
Vergleich des Verhaltens
Ausfallsicherung
| Routenbasiertes VPN (Any-to-Any-Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
SD-WAN-Routen mit mehreren Gateways und SLAs ermöglichen ein schnelleres Failover auf redundante Routen. Sie müssen keine VPN-Failover-Gruppe erstellen, wenn Sie SD-WAN-Routen konfigurieren. | Die VPN-Failover-Gruppe bietet redundante VPN-Tunnel. | Dasselbe wie routenbasiertes VPN (Verkehrsselektoren). |
Neue Netzwerke hinzufügen
| Routenbasiertes VPN (Any-to-Any-Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
Konfigurationsaktualisierungen aufgrund von Netzwerkänderungen führen nicht zu Ausfallzeiten. Netzwerkänderungen erfordern eine Aktualisierung der Routenkonfigurationen und nicht der IPsec-Konfiguration. | Führt zu Ausfallzeiten. Änderungen an Subnetzen in lokalen oder Remote-Netzwerken erfordern eine Änderung der IPsec-Konfiguration, wodurch bestehende Verbindungen getrennt werden. | Dasselbe wie routenbasiertes VPN (Verkehrsselektoren). |
Wann zu verwenden
| Routenbasiertes VPN (Any-to-Any-Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
|
| Dasselbe wie routenbasiertes VPN (Verkehrsselektoren). |
Empfohlene Konfiguration
| Routenbasiertes VPN (Any-to-Any-Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
| Wir empfehlen die Verwendung dieser Tunnel gegenüber den beiden anderen Typen. | Sie können diese verwenden, um die Verkehrsselektoren festzulegen. Wir empfehlen diese anstelle eines richtlinienbasierten VPN, insbesondere für den Aufbau von Verbindungen mit Firewalls von Drittanbietern. | Verwenden Sie diese nur, wenn Ihr Netzwerk dies erfordert. |