De acuerdo

Diferencia entre el modo de plantilla de política IPSec, el modo de perfil y el modo de política.

65 0 0 0 0

Diferencia entre el modo de plantilla de política IPSec, el modo de perfil y el modo de política.

Como es sabido, IPSec se puede crear utilizando tres modos, el modo de política de tráfico, el modo de plantilla de política y el modo de perfil IPSec. Entonces, ¿cuál sería la diferencia entre estos tres modos? ¿Cuál es su escenario de aplicación de ellos, y podemos utilizar diferentes modos simultáneamente para establecer la VPN IPSec? En este post, vamos a introducir eso.


Modo de política de tráfico IPSec

Como el modo de creación de IPSec más utilizado, en el modo de política de tráfico, la SA IKE y la SA IPSec se generan a través de la configuración de la propuesta IKE y la negociación de la configuración de la propuesta IPSec. Para establecer el IKE SA, la dirección IP del peer debe ser especificada explícitamente, lo que significa que la dirección IP del peer remoto debe ser estática. De lo contrario, la SA IKE terminará debido al cambio de la dirección IP.

                                                         

Sin embargo, para algunos escenarios, es costoso obtener una IP estática. Por ejemplo, para la mayoría de las sucursales, una dirección IP estática es necesaria. Simplemente obtienen una IP dinámica del ISP. Para establecer la VPN IPSec en este escenario, podemos utilizar el modo de plantilla de política VPN IPSec.


Modo de plantilla de políticas IPSec

La razón de la necesidad de dos IPs estáticas cuando se utiliza el modo de política de tráfico IPSec es que ambos pares IPSec pueden iniciar el establecimiento de la VPN IPSec. Siguiendo esta línea de pensamiento, podemos reducir una dirección IP estática para que sólo el peer especificado inicie el establecimiento de la VPN IPSec. Este es el pensamiento del modo de plantilla de política IPSec.


modo plantilla de politica

Figura 1. Plantilla de políticas modo IPSec.


Por ejemplo, para una red Hub y Spoke, podemos configurar la plantilla de política IPSec en el peer Hub, para que los peers Spoke puedan iniciar el establecimiento de la VPN IPSec. En esta situación, el peer Hub no puede iniciar el establecimiento de la VPN IPSec debido a que los peers Spoke remotos no tienen IP estática, por lo que sólo puede responder a la solicitud de establecimiento del peer Spoke. Por otro lado, como parte pasiva, el Hub peer suele adoptar las reglas de encriptación de los Spoke peers.

 

Modo de Perfil IPSec

En los dos modos anteriores, los datos de cifrado se definen en la ACL de seguridad. Si la dirección de destino o la dirección de origen no son regulares, puede llevar demasiado tiempo configurar la ACL. Además, las ACL masivas no son fáciles de mantener. Para resolver este problema, se introduce el modo de perfil IPSec.

 

En el modo de perfil, un perfil IPSec es similar a una política IPSec. Al igual que el modo de política IPSec VPN, el perfil también requiere marcar explícitamente la IP del peer remoto. Normalmente, la VPN IPSec en modo perfil se crea entre dos interfaces de túnel lógicas. Después, podemos configurar la ruta estática para guiar el tráfico hacia el túnel IPSec.


¿Diferencia entre el modo de política de tráfico IPSec, el modo de plantilla de política IPSec y el modo de perfil IPSec?

Las principales diferencias entre estos tres modos se enumeran en la siguiente tabla:


Elemento

Modo Politica

Modo plantilla de   Política

Modo Perfil

Número   de requisitos de la IP estática

2

1

2

Cómo   especificar los datos de encriptación

Basado en ACL

Los   pares activos utilizan ACL.
 
  El par pasivo adopta la propuesta del lado activo.

Basado en ruteo

Escenario de   aplicación

VPN Site-to-Site

Redes   de tipo "hub and spoke", como la sede central y las sucursales.

Las   IP de origen y destino del tráfico cifrado no son regulares


Saludos.


FIN.


También te puede interesar:

Guía de dimensionamiento firewall USG6000 Series NGFW

Descripción general de la función DNS utilizado en firewalls de Huawei.

Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000

                                                

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

Foro de Internet de las Cosas

                                                         

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente


  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.