Inhaltsverzeichnis
Werbung
Teldat GmbH
RXL-Serie und bintec PSU XL
Die Richtlinien-basierte Methode ist ausschließlich über das Setup Tool konfigurierbar. Mit
dem GUI verwenden Sie die Routing-basierte Methode. (Letztere ist zusätzlich auch über
das Setup Tool verfügbar.)
Die Richtlinien-basierte Methode nutzt Filter für den Datenverkehr zur Aushandlung der IP-
Sec-Phase-2-SAs. Damit ist eine sehr "feinkörnige" Filterung der IP-Pakete bis auf Proto-
koll- und Portebene möglich.
Die Routing-basierte Methode bietet gegenüber der Richtlinien-basierte Methode verschie-
dene Vorteile, wie z. B. NAT/PAT innerhalb eines Tunnels, IPSec in Verbindung mit Rou-
ting-Protokollen und Realisierung von VPN-Backup-Szenarien. Bei der Routing-basierten
Methode werden zur Aushandlung der IPSec-Phase-2-SAs die konfigurierten oder dyna-
misch gelernten Routen genutzt. Diese Methode vereinfacht zwar viele Konfigurationen,
gleichzeitig kann es aber zu Problemen wegen konkurrierender Routen oder wegen der
"gröberen" Filterung des Datenverkehrs kommen.
Der Parameter Zusätzlicher Filter des Datenverkehrs behebt dieses Problem. Sie kön-
nen "feiner" filtern, d.h. Sie können z. B. die Quell-IP-Adresse oder den Quell-Port ange-
ben. Ist ein Zusätzlicher Filter des Datenverkehrs konfiguriert, so wird er zur Aushand-
lung der IPSec-Phase-2-SAs herangezogen, die Route bestimmt nur noch, welcher Daten-
verkehr geroutet werden soll.
Passt ein IP-Paket nicht zum definierten Zusätzlicher Filter des Datenverkehrs , so wird
es verworfen.
Erfüllt ein IP-Paket die Anforderungen in einem Zusätzlicher Filter des Datenverkehrs ,
so startet die IPSec-Phase-2-Aushandlung und der Datenverkehr wird über den Tunnel
übertragen.
Hinweis
Der Parameter Zusätzlicher Filter des Datenverkehrs ist ausschließlich für den In-
itiator der IPSec-Verbindung relevant, er gilt nur für ausgehenden Datenverkehr.
Hinweis
Beachten Sie, dass die Konfiguration der Phase-2-Richtlinien auf beiden IPSec-Tun-
nel-Endpunkten identisch sein muss.
17 VPN
293
Werbung
Inhaltsverzeichnis
