Vergleich von richtlinienbasierten und routenbasierten VPNs
Je nach Ihren Netzwerkanforderungen können Sie richtlinienbasierte und routenbasierte IPsec-VPNs verwenden.
Tipp
Wir empfehlen die Verwendung routenbasierter VPNs anstelle von richtlinienbasierten VPNs.
Darüber hinaus sind routenbasierte VPNs mit lokalen und entfernten Subnetzen auf Folgendes eingestellt: Beliebig oder mit IP-Version eingestellt auf Dual Sie ermöglichen es Ihnen, Routen für diese Verbindungen zu konfigurieren, was Flexibilität bietet und Ausfallzeiten im Zusammenhang mit Netzwerkänderungen minimiert.
Vergleich der Objekte
Einen Vergleich der folgenden VPN-Verbindungstypen finden Sie in den Tabellen:
- Routenbasierte VPNs mit den lokalen und Remote-Subnetzen, die auf Folgendes eingestellt sind Beliebig.
- Routenbasierte VPNs mit Verkehrsselektoren (Hosts oder Subnetze) für die lokalen und entfernten Subnetze.
- Richtlinienbasierte VPNs.
Anzahl der virtuellen Schnittstellen
| Routenbasiertes VPN (Beliebiger Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
| Erstellt eine XFRM-Schnittstelle für jede routenbasierte VPN-Konfiguration und vereinfacht so die Fehlersuche. Sie haben mehr Kontrolle über die MTU. | Erstellt eine XFRM-Schnittstelle für jede routenbasierte VPN-Konfiguration und vereinfacht so die Fehlersuche. Sie haben mehr Kontrolle über die MTU. | Erstellt eine einzige IPsec-Schnittstelle für alle richtlinienbasierten VPN-Verbindungen. Der TCP-Dump zeigt ausschließlich diese IPsec-Schnittstelle für alle richtlinienbasierten Verbindungen an. |
Anzahl der Tunnel
| Routenbasiertes VPN (Beliebiger Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
| Erstellt für jede XFRM-Schnittstelle einen einzelnen Phase-2-Tunnel, um Ressourcen zu sparen. Erstellt zwei Tunnel (für IPv4 und IPv6), wenn Sie dies entsprechend einstellen. IP-Version Zu Dual. | Erstellt einen Phase-2-Tunnel für jedes Paar lokaler und entfernter Subnetze, was mehr Ressourcen erfordert. | Dasselbe wie bei routenbasierten VPNs (Traffic-Selektoren). |
Verkehr, der in den Tunnel einfährt
| Routenbasiertes VPN (Beliebiger Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
| Der Datenverkehr entspricht der Quelle, dem Ziel und den anderen Einstellungen, die Sie in den entsprechenden Routen angeben. | Der Datenverkehr, der die XFRM-Schnittstelle erreicht, wird mit den konfigurierten Verkehrsselektoren abgeglichen. | Der VPN-Datenverkehr, der die Listening-Schnittstelle erreicht, wird mit den Verkehrsselektoren (lokale und entfernte Subnetze, die in der Konfiguration angegeben sind) abgeglichen. |
Routen
| Routenbasiertes VPN (Beliebiger Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
| Sie müssen statische, SD-WAN- oder dynamische Routen, wie z. B. RIP-, OSPF- oder BGP-Routen, konfigurieren, um den an die XFRM-Schnittstelle zu sendenden Datenverkehr zu bestimmen. | Die Firewall konfiguriert automatisch eine statische Route, sobald der Tunnel eingerichtet ist. | Die Firewall erstellt automatisch eine VPN-Route im Backend, sobald der Tunnel aufgebaut ist. Sie müssen die ipsec_route Befehl in der CLI für bestimmte Arten von Datenverkehr. Siehe Routing und NAT für IPsec-Tunnel. |
Firewall-Regeln
| Routenbasiertes VPN (Beliebiger Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
| Die Firewall-Regeln für eingehenden und ausgehenden Datenverkehr in der VPN-Zone steuern den Zugriff basierend auf Quell- und Zielnetzwerken, Diensten, Benutzern und Anwendungen. | Dasselbe wie routenbasiertes VPN (Beliebiger-zu-Beliebiger-Tunnel). | Dasselbe wie routenbasiertes VPN (Beliebiger-zu-Beliebiger-Tunnel). |
NAT für überlappende Subnetze
| Routenbasiertes VPN (Beliebiger Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
| Sie müssen SNAT- und DNAT-Regeln konfigurieren (Regeln und Richtlinien > NAT-Regeln: ) für überlappende Teilnetze. | NAT-Einstellung in der IPsec-Konfiguration für überlappende Subnetze. | Dasselbe wie bei routenbasierten VPNs (Traffic-Selektoren). |
Verhaltensvergleich
Ausfall
| Routenbasiertes VPN (Beliebiger Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
SD-WAN-Routen mit mehreren Gateways und SLAs ermöglichen ein schnelleres Failover auf redundante Routen. Sie müssen keine VPN-Failovergruppe erstellen, wenn Sie SD-WAN-Routen konfigurieren. | Die VPN-Failovergruppe stellt redundante VPN-Tunnel bereit. | Dasselbe wie bei routenbasierten VPNs (Traffic-Selektoren). |
Hinzufügen neuer Netzwerke
| Routenbasiertes VPN (Beliebiger Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
Konfigurationsaktualisierungen aufgrund von Netzwerkänderungen führen nicht zu Ausfallzeiten. Netzwerkänderungen erfordern eine Aktualisierung der Routenkonfigurationen und nicht der IPsec-Konfiguration. | Führt zu Ausfallzeiten. Änderungen an Subnetzen im lokalen oder entfernten Netzwerk erfordern eine Änderung der IPsec-Konfiguration, wodurch bestehende Verbindungen getrennt werden. | Dasselbe wie bei routenbasierten VPNs (Traffic-Selektoren). |
Wann verwenden?
| Routenbasiertes VPN (Beliebiger Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
|
| Dasselbe wie bei routenbasierten VPNs (Traffic-Selektoren). |
Empfohlene Konfiguration
| Routenbasiertes VPN (Beliebiger Tunnel) | Routenbasiertes VPN (Verkehrsselektoren) | Richtlinienbasiertes VPN |
|---|---|---|
| Wir empfehlen die Verwendung dieser Tunnel gegenüber den beiden anderen Typen. | Sie können damit die Datenverkehrsselektoren festlegen. Wir empfehlen diese anstelle von richtlinienbasierten VPNs, insbesondere für die Herstellung von Verbindungen mit Firewalls von Drittanbietern. | Verwenden Sie diese nur, wenn Ihr Netzwerk dies erfordert. |