ポリシーベースの VPN とルートベースの VPN の比較
ネットワークの要件に応じて、ポリシーベースの IPsec VPN とルートベースの IPsec VPN を使い分けることができます。
ヒント
ポリシーベースの VPN の代わりに、ルートベースの VPN を使用することを推奨します。
また、ルートベースの VPN で、ローカルサブネットとリモートサブネットを「任意」にするか、「IP バージョン」を「デュアル」にしたうえで、ルートを指定するという方法をとれば、ネットワークに変更を加える際の自由度が増すとともに、ダウンタイムを最小限に抑えることができます。
オブジェクトの比較
VPN 接続の種類間の比較については、以下の表を参照してください。
- ルートベースの VPN で、ローカルおよびリモートサブネットを「任意」にする。
- ルートベースの VPN で、ローカルサブネットおよびリモートサブネットのトラフィックセレクタ指定する (ホストまたはサブネットを指定する)。
- ポリシーベースの VPN。
仮想インターフェースの数
ルートベースの VPN (任意のサブネット間) | ルートベースの VPN (トラフィックセレクタ) | ポリシーベースの VPN 機能 |
---|---|---|
ルートベースの VPN の設定ごとに XFRM インターフェースが作成されるため、デバッグが容易であるという特徴があります。また、MTU をきめ細かく制御できます。 | ルートベースの VPN の設定ごとに XFRM インターフェースが作成されるため、デバッグが容易であるという特徴があります。また、MTU をきめ細かく制御できます。 | すべてのポリシーベースの VPN 接続に対して、単一の IPsec インターフェースを作成します。tcpdump を実行すると、すべてのポリシーベースの接続に対応する 1つの IPsec インターフェースが表示されます。 |
トンネルの数
ルートベースの VPN (任意のサブネット間) | ルートベースの VPN (トラフィックセレクタ) | ポリシーベースの VPN 機能 |
---|---|---|
XFRM インターフェースごとに 1つのフェーズ 2 トンネルが作成されるので、リソースを節約できます。「IP バージョン」を「デュアル」に設定した場合は、2つのトンネル (IPv4 および IPv6) が作成されます。 | ローカルサブネットとリモートサブネットのペアごとにフェーズ 2 トンネルが作成されるので、任意のサブネット間よりも多くのリソースが必要となります。 | ルートベースの VPN (トラフィックセレクタ) と同様です。 |
トンネルに入るトラフィック
ルートベースの VPN (任意のサブネット間) | ルートベースの VPN (トラフィックセレクタ) | ポリシーベースの VPN 機能 |
---|---|---|
トラフィックを、専用ルートで指定した送信元、宛先、およびその他の設定と照合します。 | XFRM インターフェースに到達したトラフィックを、トラフィックセレクタで照合します。 | リスニングインターフェースに到達した VPN トラフィックを、トラフィックセレクタで (指定のローカルサブネットおよびリモートサブネットと) 照合します。 |
ルート
ルートベースの VPN (任意のサブネット間) | ルートベースの VPN (トラフィックセレクタ) | ポリシーベースの VPN 機能 |
---|---|---|
XFRM インターフェースに送信するトラフィックを判定するために、スタティックルート、SD-WAN ルート、またはダイナミックルート (RIP、OSPF、BGP ルートなど) を設定する必要があります。 | トンネルの確立時に、スタティックルートが自動的に設定されます。 | また、トンネルが確立されると、VPN ルートがバックエンドに自動的に作成されます。特定の種類のトラフィックに対しては、CLI でコマンド ipsec_route を使用する必要があります。詳細は、IPsec トンネルのルーティングと NATを参照してください。 |
ファイアウォールルール
ルートベースの VPN (任意のサブネット間) | ルートベースの VPN (トラフィックセレクタ) | ポリシーベースの VPN 機能 |
---|---|---|
受信方向および送信方向のファイアウォールルールを設定し、送信元および宛先ネットワーク、サービス、ユーザー、アプリケーションに基づいて VPN ゾーンのアクセスを制御します。 | ルートベースのVPN (任意のサブネット間) と同様です。 | ルートベースのVPN (任意のサブネット間) と同様です。 |
重複するサブネットの NAT
ルートベースの VPN (任意のサブネット間) | ルートベースの VPN (トラフィックセレクタ) | ポリシーベースの VPN 機能 |
---|---|---|
重複するサブネットに対して SNAT および DNAT ルールを設定する必要があります (「ルールとポリシー > NAT ルール」)。 | IPsec の設定で、重複するサブネットの NAT を指定します。 | ルートベースの VPN (トラフィックセレクタ) と同様です。 |
動作の比較
フェールオーバー
ルートベースの VPN (任意のサブネット間) | ルートベースの VPN (トラフィックセレクタ) | ポリシーベースの VPN 機能 |
---|---|---|
SD-WAN ルートに複数のゲートウェイおよび SLA を指定すると、冗長ルートへのフェールオーバーを高速に行えます。 SD-WAN ルートを設定する場合、VPN フェールオーバーグループを作成する必要はありません。 | VPN フェールオーバーグループによって、冗長 VPN トンネルを実現します。 | ルートベースの VPN (トラフィックセレクタ) と同様です。 |
新しいネットワークの追加
ルートベースの VPN (任意のサブネット間) | ルートベースの VPN (トラフィックセレクタ) | ポリシーベースの VPN 機能 |
---|---|---|
ネットワークや構成に変更を加えても、ダウンタイムは発生しません。 ネットワークに変更が生じた際は、IPsec の設定ではなく、ルートの設定に変更を加えます。 | ダウンタイムが発生します。 ローカルネットワークまたはリモートネットワークになんらかの変更が生じた場合は、確立済みの接続を切断してから、IPsec の設定に変更を加える必要があります。 | ルートベースの VPN (トラフィックセレクタ) と同様です。 |
使い分け
ルートベースの VPN (任意のサブネット間) | ルートベースの VPN (トラフィックセレクタ) | ポリシーベースの VPN 機能 |
---|---|---|
|
| ルートベースの VPN (トラフィックセレクタ) と同様です。 |
推奨設定
ルートベースの VPN (任意のサブネット間) | ルートベースの VPN (トラフィックセレクタ) | ポリシーベースの VPN 機能 |
---|---|---|
他の 2種類の方法よりも、こちらの方法を推奨します。 | トラフィックセレクタを指定する必要がある場合に使用してください。サードパーティ製のファイアウォールとの接続を確立する場合は、ポリシーベースの VPN ではなく、この方法を推奨します。 | ネットワークの要件に基づき、必要な場合のみに使用してください。 |