GRE over IPsec vs IPsec over GRE: detaljeret sammenligning
GRE over IPsec vs IPsec over GRE
Hvad er GRE?
generisk Routing Encapsulation (GRE) er en Cisco udviklet tunneling protokol. Det er en simpel IP-pakke indkapslingsprotokol. Generisk Routing indkapsling bruges, når IP-pakker skal transporteres fra et netværk til et andet netværk uden at blive underrettet som IP-pakker af mellemliggende routere.
GRE lader to slutbrugere til at dele data, som de ikke ville være i stand til at dele over det offentlige netværk. Det understøtter enhver OSI Layer 3 protokol. Det bruger protokol 47. GRE tunneler understøtter indkapsling til både unicast og multicast pakker. GRE kan bære IPv6 og multicast trafik mellem netværk. GRE-tunneler betragtes dog ikke som en sikker protokol, fordi den mangler kryptering af nyttelast.
Hvad er IPsec?
IPSEC står for Internet Protocol Security. Det er en Internet Engineering Task Force (IETF) suite af protokoller mellem to kommunikationspunkter på tværs af Internet Protocol netværk, der giver data autentificering, dataintegritet og fortrolighed. IPsec bruges mest til at konfigurere VPN ‘ er og fungerer ved at kryptere IP-pakker sammen med at godkende kilden, hvor pakkerne kommer fra.
relateret – GRE VS IPSEC
vi er nødt til at etablere en IPsec-tunnel mellem to IPsec-jævnaldrende, før vi beskytter IP-pakker. Vi bruger protokol kaldet Ike (Internet nøgleudveksling) til at etablere en IPsec-tunnel.
IKE består af 2 faser for at bygge en IPsec tunnel. De er:
- Ike fase 1
- IKE fase 2
Ike fase 1
hovedformålet med Ike fase 1 er at skabe en sikker tunnel, så vi it kan bruges til IKE fase 2.
følgende trin udføres i IKE-fase 1
- forhandling
- DH nøgleudveksling
- godkendelse
IKE fase 2
IKE fase 2 bruges til at beskytte brugerdataene. Hurtig tilstand er bygget i IKE fase 2 tunnel. I IKE fase 2 tunnel forhandling vil blive gjort på følgende ting.
- IPsec-protokol
- Indkapslingsmodus
- kryptering
- godkendelse
- levetid
- DH-udveksling (valgfri)
Ike konstruerer tunnellerne, men det godkender eller krypterer ikke brugerdata. Til dette bruger vi to andre protokoller:
- AH (autentificering Header)
- ESP (indkapsling sikkerhed nyttelast)
både protokoller AH og ESP understøtter godkendelse og integritet, men ESP understøtter også kryptering. På grund af denne grund er ESP den mest anvendte protokol i dag.
ovenstående to protokoller understøtter to tilstande. De er
- Tunneltilstand
- transporttilstand
en af hovedforskellen mellem de to tilstande er, at original IP-overskrift bruges i transporttilstand, og ny IP-overskrift bruges i Tunneltilstand.
hele processen med IPsec udføres i fem trin. De er som følger
- initiering
- IKE fase 1
- Ike fase 2
- dataoverførsel
- opsigelse
relateret – GRE vs L2TP
GRE over IPsec:
da vi ved, at gre er en indkapslingsprotokol, og den ikke kan kryptere dataene, så tager vi hjælp fra IPsec for at få krypteringsarbejdet gjort.
GRE over IPsec kan konfigureres i to tilstande.
- GRE IPsec Tunneltilstand
- GRE IPsec transporttilstand
GRE IPsec Tunneltilstand:
i GRE IPsec Tunnel-tilstand er hele GRE-pakken indkapslet, krypteret og beskyttet inde i IPsec-pakken. En betydelig overhead føjes til pakken i GRE IPsec tunnel-tilstand, på grund af hvilken brugbar ledig plads til vores nyttelast reduceres og kan føre til mere fragmentering, når der transmitteres data over en GRE IPsec-Tunnel.
ovenstående pakkestruktur viser GRE over IPsec i tunneltilstand.
GRE IPsec transportform:
i GRE IPsec-transporttilstand er GRE-pakken indkapslet og krypteret inde i IPsec-pakken, men GRE IP-overskriften er placeret foran, og den er ikke krypteret på samme måde som den er i Tunneltilstand. Transporttilstand er ikke en standardkonfiguration, og den skal konfigureres ved hjælp af følgende kommando under IPsec-transformationssættet:
GRE IPsec transporttilstand er ikke mulig at bruge, hvis kryptotunnelen passerer en enhed ved hjælp af Netværksadresseoversættelse (NAT) eller Portadresseoversættelse (PAT). I så fald anvendes Tunneltilstand. GRE IPsec transporttilstand kan ikke bruges, hvis GRE tunnel endpoints og Crypto tunnel endpoints er forskellige.
ovenstående pakkestruktur viser GRE over IPsec i transporttilstand.
IPsec Over GRE
i IPsec over GRE er pakkerne, der er indkapslet ved hjælp af IPSec, indkapslet af GRE. I IPsec løbet GRE IPsec kryptering sker på tunnel grænseflader. Slutbrugersystemerne registrerer datastrømme, der skal krypteres på tunnelgrænseflader. En ACL er indstillet til at matche datastrømme mellem to brugernetværkssegmenter. Pakker, der matches med ACL, indkapsles i IPSec-pakker og derefter i GRE-pakker, før de sendes over tunnelen. Pakker, der ikke matcher med ACL, sendes direkte over GRE-tunnelen uden IPsec-indkapsling. IPsec over GRE fjerner den ekstra overhead af kryptering af GRE header.
GRE over IPsec vs IPsec over GRE
| GRE over IPSec | IPSec OVER GRE |
|---|---|
| yderligere overhead føjes til pakker ved at kryptere GRE Header | fjerner den ekstra overhead af kryptering af GRE header. |
| IP multicast og ikke-IP protokoller understøttes | IP multicast og ikke-IP protokoller understøttes ikke |
| understøtter dynamiske IGP-routingprotokoller over VPN-tunnelen | understøtter ikke dynamiske IGP-routingprotokoller over VPN-tunnelen |
| alle primære og backup point-to-point GRE over IPSec tunneler er forud etableret, så i tilfælde fiasko scenario en ny tunnel behøver ikke at blive etableret. | ingen backup punkt til punkt tunneler er etableret for at overvinde hændelsesfejlscenariet. |
Hent forskellen tabellen her.
Leave a Reply