Articles /

GRE přes IPsec vs IPsec přes GRE: podrobné srovnání

GRE přes IPsec vs IPsec přes GRE

co je GRE?

Generic Routing Encapsulation (GRE)je Cisco vyvinutý tunelovací protokol. Jedná se o jednoduchý protokol zapouzdření paketů IP. Obecné zapouzdření směrování se používá, když IP pakety musí být přepravovány z jedné sítě do jiné sítě, aniž by byly oznámeny jako IP pakety jakýmikoli mezilehlými směrovači.

inzeráty


GRE umožňuje dvěma koncovým uživatelům sdílet data, která by nemohli sdílet ve veřejné síti. Podporuje jakýkoli protokol OSI Layer 3. Využívá protokol 47. GRE tunely podporují zapouzdření pro unicast i multicast pakety. GRE může přenášet IPv6 a multicast provoz mezi sítěmi. Tunely GRE se však nepovažují za bezpečný protokol, protože postrádají šifrování užitečného zatížení.

co je IPsec?

IPSEC je zkratka pro Internet Protocol Security. Jedná se o sadu protokolů Internet Engineering Task Force (IETF) mezi dvěma komunikačními body v síti internetového protokolu, které poskytují autentizaci dat, integritu dat a důvěrnost. IPsec se většinou používá k nastavení VPN, a funguje tak, že šifruje IP pakety, spolu s ověřením zdroje, odkud pakety pocházejí.

příbuzný-GRE VS IPSEC

musíme vytvořit IPSec tunel mezi dvěma IPSec vrstevníky, než budeme chránit všechny IP pakety. K vytvoření IPsec tunelu používáme protokol IKE (Internet Key Exchange).

IKE se skládá ze 2 fází za účelem vybudování tunelu IPsec. Jsou to:

  • IKE Fáze 1
  • IKE fáze 2

IKE Fáze 1

hlavním účelem IKE fáze 1 je vytvořit bezpečný tunel tak, abychom jej mohli použít pro IKE fázi 2.

následující kroky se provádějí ve fázi IKE 1

  • vyjednávání
  • výměna klíčů DH
  • autentizace

IKE phase 2

IKE phase 2 se používá k ochraně uživatelských dat. Rychlý režim je postaven v IKE fáze 2 tunelu. V IKE fáze 2 tunel jednání bude provedeno na následujících věcech.

  • protokol IPsec
  • režim zapouzdření
  • šifrování
  • autentizace
  • životnost
  • výměna DH (Volitelné)

IKE postavit tunely, ale neověřuje ani nešifruje uživatelská data. K tomu používáme dva další protokoly:

  • AH (Authentication Header)
  • ESP (Encapsulating Security Payload)

oba protokoly AH a ESP podporuje autentizaci a integritu, ale ESP podporuje šifrování také. Z tohoto důvodu je ESP dnes nejčastěji používaným protokolem.

výše uvedené dva protokoly podporují dva režimy. Jedná se o

  • tunelový režim
  • transportní režim

jedním z hlavních rozdílů mezi těmito dvěma režimy je to, že původní hlavička IP se používá v dopravním režimu a nová hlavička IP se používá v režimu tunelu.

celý proces IPsec se provádí v pěti krocích. Jsou následující

  • iniciace
  • IKE Fáze 1
  • IKE fáze 2
  • přenos dat
  • ukončení

související – GRE vs L2TP

GRE přes IPsec:

protože víme, že GRE je protokol zapouzdření a nemůže data šifrovat, takže bereme pomoc IPsec pro získání šifrovací práci.

GRE přes IPsec lze konfigurovat ve dvou režimech.

  • GRE IPsec Tunnel Mode
  • GRE IPsec Transport Mode

GRE IPsec Tunnel Mode:

v režimu tunelu GRE IPsec je celý paket GRE zapouzdřen, šifrován a chráněn uvnitř paketu IPsec. V režimu tunelu GRE IPsec je do paketu přidána významná režie, kvůli které je využitelný volný prostor pro naše užitečné zatížení snížen a může vést k větší fragmentaci při přenosu dat přes tunel GRE IPsec.

výše uvedená struktura paketů zobrazuje GRE přes IPsec v režimu tunelu.

GRE IPsec transport Mode:

v režimu přenosu GRE IPsec je paket GRE zapouzdřen a šifrován uvnitř paketu IPsec, ale hlavička GRE IP je umístěna vpředu a není šifrována stejným způsobem jako v režimu tunelu. Transport mode není výchozí konfigurace a musí být nakonfigurován pomocí následujícího příkazu v sadě transformací IPsec:

R1 (cfg-crypto-trans) # mode transport

GRE IPsec transport mode Není možné použít, pokud krypto tunel prochází zařízením pomocí překladu síťových adres (NAT) nebo překladu adres portů (PAT). V takovém případě se používá režim tunelu. Režim dopravy GRE IPsec nelze použít, pokud jsou koncové body tunelu GRE a koncové body kryptového tunelu odlišné.

výše uvedená struktura paketů zobrazuje GRE přes IPsec v transportním režimu.

IPsec Over GRE

v IPsec over GRE pakety, které byly zapouzdřeny pomocí IPSec, jsou zapouzdřeny GRE. V IPsec přes GRE šifrování IPsec se provádí na rozhraní tunelu. Systémy koncového uživatele detekují datové toky, které je třeba zašifrovat na rozhraní tunelu. ACL je nastaven tak, aby odpovídal datovým tokům mezi dvěma segmenty uživatelské sítě. Pakety, které jsou porovnány s ACL, jsou zapouzdřeny do paketů IPSec a poté do paketů GRE, než jsou odeslány přes tunel. Pakety, které neodpovídají ACL, jsou odesílány přímo přes tunel GRE bez zapouzdření IPsec. IPsec over GRE odstraňuje dodatečnou režii šifrování hlavičky GRE.

GRE přes IPsec vs IPsec přes GRE

GRE přes IPSec IPSec přes GRE
další režie je přidána do paketů šifrováním hlavičky GRE odstraní dodatečnou režii šifrování hlavičky GRE.
IP multicast a non-IP protokoly jsou podporovány IP multicast a non-IP protokoly nejsou podporovány
Podporuje dynamické směrovací protokoly IGP přes tunel VPN nepodporuje dynamické směrovací protokoly IGP přes tunel VPN
všechny primární a záložní tunely typu point-to-point GRE přes tunely IPSec jsou předem stanoveny, takže v případě selhání nemusí být vytvořen nový tunel. nejsou vytvořeny žádné záložní tunely typu point to point, které by překonaly scénář selhání události.

Stáhněte si tabulku rozdílů zde.

inzeráty


Leave a Reply