Route-Based VPN / VTI¶
一般站對站用「加密域(VPN Domain)」決定哪些流量進隧道;Route-Based VPN 換個思路:用一個虛擬隧道介面(VTI)當路由目的地,由路由表決定什麼走 VPN。要跟動態路由(OSPF/BGP)整合、或對接雲端時特別好用。
Domain-Based vs Route-Based¶
| Domain-Based | Route-Based(VTI) | |
|---|---|---|
| 決定誰進隧道 | VPN Domain(加密網段) | 路由表(指向 VTI 的路由) |
| 動態路由 | 不易整合 | 可跑 OSPF / BGP over VTI |
| 適用 | 一般站對站 | 多站動態路由、雲端 VPN、複雜拓樸 |
兩者並存時 Domain-Based 優先
同一台 Gateway 若同時有加密域與 VTI,Domain-Based 預設優先。要讓 Route-Based 生效的標準做法:建一個空的群組物件指派給該 Gateway 的 VPN Domain(等於清空加密域),讓路由表接管。
VTI 兩種型態¶
- Numbered(編號式):每個 VTI 有自己的 local / remote IP(點對點)。
- Unnumbered(無編號式):借用一個 proxy interface(實體或 loopback)的 IP,每介面只管一個 IP。
VTI 介面命名慣例為 vpnt<N>(例如 vpnt1)。
跑動態路由(OSPF 範例)¶
VTI 在路由協定眼中就是「一個 hop」,可以在上面跑 OSPF / BGP:
# Gaia clish
set ospf area 0.0.0.0 on
set router-id 170.170.1.10
set ospf interface vpnt1 area 0.0.0.0 on
set route-redistribution to ospf2 from kernel all-ipv4-routes on
save config
叢集注意
ClusterXL 上:每個成員要各自唯一的 local source IP;指向同一 peer 的所有 VTI 必須同名;Cluster VIP 要在成員 VTI 都設好後,再於 SmartConsole 設定。
相關進階機制(概覽)¶
這些常跟 Route-Based / 多入口場景一起出現:
- MEP(Multiple Entry Point):同一 VPN Domain 有多個入口 Gateway 做 HA / Load Sharing(
First to Respond、Primary-Backup、Load Distribution等)。回程一致性靠 IP Pool NAT 或 RIM(Route Injection)。 - Link Selection:決定 VPN 走哪條對外線路(R82 有 Enhanced,對雲端 / 第三方相容性更好;與 Legacy 兩套)。
- Permanent Tunnels:讓隧道常駐、隨時監控。Check Point 之間用 Tunnel Testing(UDP 18234);對第三方用 DPD。
- Wire Mode:讓「可信介面之間」的 VPN 流量繞過 stateful inspection,主要用在 MEP failover 時讓 out-of-state 封包不被丟(不支援 IPv6)。
後量子加密(R82)
R82 起 Site-to-Site VPN 支援 Quantum Safe Key Exchange(基於 RFC-9242 / RFC-9370),可在 IKEv2 疊加 Kyber / ML-KEM(FIPS 203,R82 JHF Take 41 起) 等抗量子演算法。需 R82+、Encryption Method 設 IKEv2 only、建議 AES-256 + SHA-384 + DH Group >15 + 勾 PFS,且只支援 Simplified Mode(community)。
小結¶
- Route-Based VPN 用 VTI 當路由目的地,由路由表決定誰進隧道。
- 兩者並存時 Domain-Based 優先 → 用空群組清空加密域讓 VTI 接管。
- VTI 可跑 OSPF / BGP,適合多站動態路由與雲端 VPN。
- 多入口 / 線路選擇 / 常駐隧道 / Wire Mode 是常見搭配機制;R82 可上後量子加密。