VPN basata su criteri e VPN basata su rotte
Durante la pianificazione della  configurazione della VPN , è fondamentale comprendere le differenze tra 2 tipi di VPN: VPN basata su criteri e VPN basata su  rotte.
Solo un ripasso su entrambi i tipi di VPN e poi possiamo ai dettaglia come entrambi i termini differiscono l’uno dall’altro.
Le VPN basate su criteri crittografano una sottosezione del traffico che scorre attraverso un’interfaccia secondo i criteri configurati nell’elenco delle access-list. La politica impone che parte o tutto il traffico interessante debba attraversare la VPN.
A differenza di una  VPN basata su criteri , una  VPN basata su rotte  funziona su interfacce di tunnel instradate come endpoint della rete virtuale. Tutto il traffico che passa attraverso un’interfaccia tunnel viene inserito nella  VPN . Piuttosto che fare affidamento su una politica esplicita per stabilire quale traffico entra nella VPN, vengono create route IP statiche e/o dinamiche per dirigere il traffico desiderato attraverso l’interfaccia del tunnel VPN.
Differenza tra VPN basata su policy e VPN basata su rotte –
| PARAMETRO | VPN BASATA SU POLICY | VPN BASATA SU ROUTE |
|---|---|---|
| Terminologia | Le VPN basate su criteri crittografano e incapsulano un sottoinsieme di traffico che scorre attraverso un’interfaccia in base a un criterio definito (un elenco di accesso). | Una VPN basata su route crea un’interfaccia IPSec virtuale e qualsiasi traffico che attraversa tale interfaccia viene crittografato e decrittografato in base alle impostazioni IPSec di fase 1 e fase 2. |
| Scalabilità | Il numero di tunnel VPN è limitato dal numero di criteri specificati | Il numero di tunnel VPN è limitato alle voci di instradamento o al numero di interfacce tunnel specificate e supportate dal dispositivo. |
| Supporto per il routing dinamico | Lo scambio di informazioni di routing dinamico non è supportato nelle VPN basate su criteri. | Supporta il routing dinamico sull’interfaccia del tunnel. |
| Controllo delle politiche | Non è possibile configurare “Nega” il traffico che scorre attraverso il tunnel VPN. | Non è possibile configurare “Nega” il traffico che scorre attraverso il tunnel VPN. |
| Topologia di rete | Supporta la topologia di rete P2P mentre la topologia Hub e Spoke non è supportata | Supporta topologie di rete Hub-spoke, P2P e P2MP |
| Stato di Security Association | Forma SA in risposta a un’interessante politica di corrispondenza del traffico (e alla fine distruggerà le SA in assenza di tale traffico). | Le SA per una VPN basata su route vengono sempre mantenute, finché non viene attivata l’interfaccia del tunnel corrispondente. |
| Caso d’uso | Motivi comuni per utilizzare una VPN basata su criteri: * Il dispositivo VPN remoto è un dispositivo non Juniper * È necessario accedere a una sola sottorete oa una rete nel sito remoto, attraverso la VPN. | Motivi comuni per utilizzare una VPN basata su route: * Il NAT di origine o di destinazione (NAT-Src, NAT-Dst) deve verificarsi mentre attraversa la VPN. * Sovrapposizione di sottoreti / indirizzi IP tra le due LAN. * Topologia VPN hub-and-spoke. * Il design richiede VPN primaria e di backup. * Un protocollo di routing dinamico (ovvero OSPF, RIP, BGP) è in esecuzione sulla VPN. * Necessità di accedere a più sottoreti o reti nel sito remoto, attraverso la VPN. |
| NATting del traffico VPN | Il traffico che scorre attraverso il tunnel VPN non può essere NATT | Il traffico che scorre attraverso il tunnel VPN può essere NATT in quanto passa attraverso l’interfaccia del tunnel o l’indirizzo IP del gateway specificato come next-hop nel routing. |
| VPN di accesso remoto | La VPN di accesso remoto può essere implementata con una VPN basata su criteri. | La VPN di accesso remoto non può essere implementata con la VPN basata su route |
| Agnostico del venditore | La VPN basata su criteri potrebbe essere supportata dai fornitori che non supportano la VPN basata su route | La VPN basata sul percorso potrebbe non essere supportata da tutti i dispositivi del fornitore |
| Aggiunta di nuova rete | I criteri del tunnel devono essere configurati se viene aggiunta una nuova rete IP | Il routing deve essere configurato per una nuova rete se esiste un percorso statico verso una posizione remota |
About Author
