真香系列：IPSec策略模板模式、模板模式、策略模式的区别

你好，这里是网络技术联盟站。

众所周知，IPSec可以通过三种模式创建：流量策略模式、策略模板模式和配置文件模式 IPSec。那么，这三种模式有什么区别呢？它们的应用场景是什么，可以同时使用不同的方式建立IPSec VPN吗？在这篇文章中，瑞哥和大家共同讨论一下。

流量策略模式IPSec

作为最常用的IPSec创建方式，在流策略模式下，IKE SA和IPSec SA是通过IKE提议配置和IPSec提议配置协商生成的。要建立 IKE SA，需要明确指定对端 IP，即远程对端的 IP 应该是静态的。否则，IKE SA 将因 IP 地址变化而终止。

但是，在某些情况下，获取静态 IP 的成本很高。例如，对于大多数分支机构来说，静态 IP 地址是必需的。他们只是从 ISP 获得动态 IP。在这种场景下建立IPSec VPN，我们可以使用策略模板模式IPSec VPN。

策略模板模式 IPSec

使用流量策略模式IPSec 时需要两个静态IP 的原因是IPSec 对等体都可能发起IPSec VPN 的建立。沿着这个思路，我们可以减少一个静态IP，只需要指定的peer来发起IPSec VPN的建立。这就是策略模板模式IPSec的思想。

图 1. 策略模板模式 IPSec

例如，对于 Hub 和 Spoke 网络，我们可以在 Hub 对等体上配置 IPSec 策略模板，以便 Spoke 对等体发起 IPSec VPN 的建立。在这种情况下，Hub peer 无法发起 IPSec VPN 的建立，因为远端 Spoke peer 没有静态 IP，只能响应 Spoke peer 的建立请求。另一方面，作为被动方，Hub peer 通常采用 Spoke peer 的加密规则。

配置文件模式 IPSec

对于前两种模式，加密数据是在安全 ACL 中定义的。如果目标地址或源地址不定期，则配置 ACL 可能需要很长时间。此外，海量的 ACL 不利于维护。为了解决这个问题，引入了profile模式IPSec。

在 Profile 模式下，IPSec Profile 类似于 IPSec 策略。与策略模式 IPSec VPN 一样，配置文件也需要明确标记远程对等 IP。通常，在两个逻辑隧道接口之间创建配置文件模式 IPSec VPN。之后，我们可以配置静态路由，将流量引导到 IPSec 隧道。

流量策略模式IPSec、策略模板模式IPSec、配置文件模式 IPSec有什么区别？

这三种模式的主要区别如下所示：

流量策略模式IPSec

• 静态IP要求数：2
• 如何指定加密数据：基于 ACL
• 应用场景：站点到站点 VPN。

策略模板模式IPSec

• 静态IP要求数：1
• 如何指定加密数据：活动对等方使用 ACL，被动对等点采用主动方的提议。
• 应用场景：Hub and Spoke 网络，例如总部和分支机构。

配置文件模式 IPSec

• 静态IP要求数：2
• 如何指定加密数据：基于路由
• 应用场景：加密流量的源IP和目的IP不规则。