FortiGateGuías técnicas

VPN IPsec: diferencias entre policy based y route/interface based, y sus valores máximos

En FortiGate, las VPN IPsec pueden estar basadas en políticas o en rutas. Hay poca diferencia entre ambas; en los dos casos se especifican las configuraciones de sus fases 1 y 2. Sin embargo, hay una diferencia en su implementación: una VPN IPsec basada en rutas crea una interfaz de red IPsec virtual que aplica cifrado o descifrado según sea necesario a cualquier tráfico que transporte; por este motivo las VPN basadas en rutas también se conocen como VPN basadas en interfaz. Una VPN IPsec basada en políticas se implementa a través de una política de seguridad especial que aplica el cifrado especificado en las configuraciones de sus fases 1 y 2 (más detalles en este enlace).

Las principales diferencias entre ellas pueden resumirse en:

Características Policy-based Route-based
Disponible en modos NAT y transparente Sólo en modo NAT
Soporte de L2TP-over-IPsec
Soporte de GRE-over-IPsec No
Requisitos de la política de seguridad Requiere una política de seguridad con acción “IPsec” que especifique el túnel VPN Requiere únicamente una política de seguridad con una acción “ACCEPT”
Número de políticas por VPN Una política controla la conexión en ambos sentidos Se requieren políticas de seguridad diferentes para permitir las conexiones en cada sentido

Ambas implementaciones presentan diferentes límites en el número de túneles que pueden establecerse, que se pueden obtener de los datos publicados en la tabla de valores máximos:

Policy-based VPNs

En los datasheets de los equipos FortiGate se especifica un valor denominado “Gateway-to-Gateway IPsec VPN Tunnels” como límite máximo de túneles gw2gwque se pueden definir; este valor está relacionado con las siguientes entradas de la tabla de max-values:

vpn.ipsec.phase1
vpn.ipsec.phase2 

 

Por ejemplo, si un equipo tiene un límite máximo de 2000 fases 1, y 2000 de fases 2, se pueden definir hasta 2000 “Gateway-to-Gateway IPsec VPN Tunnels” en cualquier combinación que se requiera:

  • 1 única fase 2 con 2000 fases 2.
  • 2000 fases 1, con una única fase 2 cada una.
  • Etc.

Route-based VPNs

En este caso, los valores que limitan el número de túneles a definir son:

vpn.ipsec.phase1-interface
vpn.ipsec.phase2-interface

Si estos valores no están definidos (están a 0 en la tabla), el límite total de interfaces del sistema (system.interface ) será el que fije el máximo de túneles (teniendo en cuenta que para este valor suman también el resto de interfaces del equipo). Por ejemplo, si el equipo tiene un valor de system.interface=8192, podrá establecer algo más de 8100 (8192 menos los interfaces del equipo) túneles VPN IPsec del tipo route-based.

Estos límites, sin embargo, no aplican a los túneles de cliente contra el FortiGate; los valores que reflejan los datasheets para “Client-to-Gateway IPsec VPN Tunnels” (así como para “Concurrent SSL-VPN Users” en el caso de los túneles SSL VPN) son orientativos en función del rendimiento de cada equipo (medido sobre una carga de servicios combinados), pero en ningún caso constituyen “límites duros” para estos servicios.

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *