IPSec 的两种配置模式

FortiGate IPsec VPN 的两种配置模式

接口模式（默认，推荐使用）：

接口模式作为默认的 IPsec VPN 方式，FortiGate 会自动创建一个 IPsec VPN Tunnel 接口，然后通过路由将感兴趣流指向 IPsec VPN Tunnel，什么样的感兴趣流走 IPsec VPN，由路由来决定，配置简单易懂，使用非常灵活，推荐使用。

LAN 和 To-GuangZhou 的接口之间通信需满足：

• IPsec VPN 隧道 UP
• 路由正确
• 策略放通

策略模式（默认隐藏，需要在 Features 中开启才能使用，不推荐使用）：

通过策略匹配出感兴趣流，然后再策略中调用 IPsec VPN，是一种较为传统的 IPsec VPN 连接方式，一般较少使用，通常推荐使用接口模式 IPsec VPN。

IPsec VPN 建立起来之后，通过策略将流量匹配，只有感兴趣流才走 IPsec VPN，而其他普通数据则走普通的路由从 WAN 口出去，不会自动生成 IPsec tunnel 接口，因此不再需要也不能配置指向 VPN tunnel 的路由。

接口模式 VS 策略模式

为什么 FGT 默认把策略模式隐藏，而推荐大家使用接口模式呢？

• 策略模式能实现的，几乎接口模式都能实现；
• 接口模式能实现的，策略模式不一定能够实现，例如：GRE OVER IPSEC、隧道上直接跑动态路由协议（RIP/OSPF/BGP）；
• 对于安全设备来说，生成一个 VPN-Tunnel 接口，策略配置起来的时候，思路更加简单清晰；
• 第二阶段感兴趣流可以配置为 any_to_any，感兴趣流量通过路由来引导，而不需要定义与配置复杂的第二阶段感兴趣流；
• 接口模式支持 ADVPN，更加适应各种复杂的组网环境；
• 接口模式支持 IPv4 和 IPv6，而策略模式仅支持 IPv4。