VPN

hub-spoke模式的疑惑,用野蛮模式还是主模式?

我看了fortigate一本通里面的hub-spoke部署模式,以及看了其他技术文档,我本来认为如果是其中有一端用adsl的方式部署的话,应该用野蛮模式,现在有一点疑惑,就是关于什么时候用野蛮模式,什么时候用主模式的问题,两边写的不一样,所以上来求证一下。
1.一点通教程图片如下

QQ截图20180109100623.png

2.其他教程如下

QQ截图20180109100648.png


 
已邀请:

kmliu - Fortinet-TAC

赞同来自:

如果双方都是飞塔的防火墙那么结论是:动态的VPN隧道既可以使用主模式也可以使用野蛮模式。

但是需要分情况:
什么时候必须要使用野蛮模式?
1.存在多条动态VPN隧道,必须使用野蛮模式+Local/Peer ID的方式来区分多条动态VPN隧道

2.存在主模式的静态VPN隧道时候,此时再配置动态VPN的时候也是一样,需要使用野蛮模式同时加Loacl/Peer ID的时候,区分彼此

3.和友商防火墙动态VPN对接,且友商的防火墙动态VPN只能使用野蛮模式,则我们必须使用野蛮模式

而我们在文档常常看到,动态VPN也是使用主模式,原因是:这个设备有且只有一条VPN隧道(HUB_AND_SPOKE,HUB端一条动态VPN隧道就可以通杀),不需要通过野蛮模式+Local/Peer ID区分彼此,因此这种时候即可是野蛮模式也可是主模式

我的建议:一般而言,动态VPN尽量使用野蛮模式+Local/Peer ID,这样更好,可以避免存在多条VPN的时候,匹配错误,可以避免不需要的问题。

要回复问题请先登录注册