什么是基于策略的 VPN ？

基于策略的 VPN 是指根據策略（訪問控制列表）控制經過 IPsec 隧道的流量，這樣即使路徑發生變化，也不會對 IPsec 通信造成影響。基于策略的 VPN 需要設置 IPsec 策略和 proxyID 信息。proxyID 指定 IPsec 隧道傳輸報文的本地網絡和遠程網絡。

基于策略的 VPN 是一種配置，其中在策略本身中指定在兩個端點之間創建的 IPsec VPN 隧道，并針對符合策略匹配標準的傳輸流量執行策略操作。

對于基于策略的 IPsec VPN，安全策略指定為其操作 VPN 隧道，用于符合策略匹配標準的傳輸流量。VPN 配置時不獨立于策略語句。策略語句指 VPN 的名稱，指定允許訪問隧道的信息流。對于基于策略的 VPN，每個策略都會與遠程對等方創建一個單獨的 IPsec 安全關聯 （SA），每個對等方都算作單獨的 VPN 隧道。例如，如果策略包含組源地址和組目標地址，則每當屬于地址集的用戶嘗試與指定為目標地址的任何一個主機通信時，將協商并建立新隧道。由于每個隧道都需要自己的協商流程和單獨的 SA 對，因此使用基于策略的 IPsec VPN 可以比基于路由的 VPN 更加資源密集。

可以使用基于策略的 VPN 的示例：

• 您正在實施撥號 VPN。

• 基于策略的 VPN 允許您根據防火墻策略定向流量。

當您想要在多個遠程站點之間配置 VPN 時，建議您使用基于路由的 VPN。基于路由的 VPN 可提供與基于策略的 VPN 相同的功能。

回答所涉及的環境：聯想天逸510S、Windows 10。