@奈良山
2年前 提问
1个回答

什么是基于策略的 VPN ?

上官雨宝
2年前

基于策略的 VPN 是指根据策略(访问控制列表)控制经过 IPsec 隧道的流量,这样即使路径发生变化,也不会对 IPsec 通信造成影响。基于策略的 VPN 需要设置 IPsec 策略和 proxyID 信息。proxyID 指定 IPsec 隧道传输报文的本地网络和远程网络。

基于策略的 VPN 是一种配置,其中在策略本身中指定在两个端点之间创建的 IPsec VPN 隧道,并针对符合策略匹配标准的传输流量执行策略操作。

对于基于策略的 IPsec VPN,安全策略指定为其操作 VPN 隧道,用于符合策略匹配标准的传输流量。VPN 配置时不独立于策略语句。策略语句指 VPN 的名称,指定允许访问隧道的信息流。对于基于策略的 VPN,每个策略都会与远程对等方创建一个单独的 IPsec 安全关联 (SA),每个对等方都算作单独的 VPN 隧道。例如,如果策略包含组源地址和组目标地址,则每当属于地址集的用户尝试与指定为目标地址的任何一个主机通信时,将协商并建立新隧道。由于每个隧道都需要自己的协商流程和单独的 SA 对,因此使用基于策略的 IPsec VPN 可以比基于路由的 VPN 更加资源密集。

可以使用基于策略的 VPN 的示例:

  • 您正在实施拨号 VPN。

  • 基于策略的 VPN 允许您根据防火墙策略定向流量。

当您想要在多个远程站点之间配置 VPN 时,建议您使用基于路由的 VPN。基于路由的 VPN 可提供与基于策略的 VPN 相同的功能。