回复 1# 的帖子
基于路由和基于策略的通道
VPN 支持的 NetScreen 设备的配置非常灵活。可以创建基于路由和基于策略的 VPN 通道。另外,每种通道都可使用
“手动密钥”或“自动密钥 IKE”管理用于加密和认证的密钥。
利用基于策略的 VPN 通道,通道被当作对象 ( 或构件块),与源、目标、服务和动作一起,组成允许 VPN 信息流的
策略。( 实际上,VPN 策略动作是tunnel,但如果未申明,则暗指动作permit )。在基于策略的 VPN 配置中,策略专
门按名称引用 VPN 通道。
利用基于路由的 VPN,策略不专门引用 VPN 通道。相反,策略引用目的地址。NetScreen 设备进行路由查询以找到
必须通过其发送信息流到达该地址的接口时,通过通道接口找到路由,它被绑定到特定 VPN 通道1。
因此,利用基于策略的 VPN 通道,可将一个通道视为策略结构中的一个元素。利用基于路由的 VPN 通道,可将一个
通道当作传输信息流的方法,同时将一个策略当作允许或拒绝传送该信息流的方法。
可创建的基于策略的 VPN 通道的数量由设备所支持的策略数量限制。可创建的基于路由的 VPN 通道的数量,由设备
所支持的路由条目或通道接口的数量加以限制 ( 以数量较少者为准)。
设置对 VPN 信息流的精确限制时,要想保存通道资源,基于路由的 VPN 通道配置是一个很好的选择。尽管可以创建
引用相同 VPN 通道的多个策略,但是每个策略都创建一个拥有远程对等方的单独的 IPSec 安全联盟 (SA),每个联盟
都被视为一个单独的 VPN 通道。利用基于路由的 VPN 方案,信息流的调整与其传输方式不成对。可配置多个策略以
调整在两个站点间流过单个 VPN 通道的信息流,但只有一个 IPSec SA 在工作。另外,基于路由的VPN 配置允许您
创建引用到达VPN 通道的动作为拒绝 的目的策略,与基于策略的 VPN 配置不同 ( 如前面所述 ),其中的动作必须是
tunnel,暗指 permit。
2001-2007 Comsenz Inc.
