GRE über IPSec vs IPSec über GRE: Detaillierter Vergleich
GRE über IPSec vs IPSec über GRE
Was ist GRE?
Generic Routing Encapsulation (GRE) ist ein von Cisco entwickeltes Tunneling-Protokoll. Es ist ein einfaches IP-Paketkapselungsprotokoll. Die generische Routing-Kapselung wird verwendet, wenn IP-Pakete von einem Netzwerk zu einem anderen Netzwerk transportiert werden müssen, ohne von Zwischenroutern als IP-Pakete benachrichtigt zu werden.
Mit GRE können zwei Endbenutzer Daten freigeben, die sie nicht über das öffentliche Netzwerk freigeben könnten. Es unterstützt jedes OSI-Layer-3-Protokoll. Es verwendet Protokoll 47. GRE-Tunnel unterstützen die Kapselung für Unicast- und Multicast-Pakete. GRE kann IPv6- und Multicast-Datenverkehr zwischen Netzwerken übertragen. GRE-Tunnel gelten jedoch nicht als sicheres Protokoll, da die Verschlüsselung von Nutzlasten fehlt.
Was ist IPSec?
IPSEC steht für Internet Protocol Security. Es ist eine Internet Engineering Task Force (IETF) Suite von Protokollen zwischen zwei Kommunikationspunkten über das Internet Protocol Network, die Datenauthentifizierung, Datenintegrität und Vertraulichkeit bieten. IPSec wird hauptsächlich zum Einrichten von VPNs verwendet und verschlüsselt IP-Pakete sowie die Quelle, aus der die Pakete stammen.
Related – GRE VS IPSEC
Wir müssen einen IPSec-Tunnel zwischen zwei IPSec-Peers einrichten, bevor wir IP-Pakete schützen können. Wir verwenden das Protokoll IKE (Internet Key Exchange), um einen IPSec-Tunnel aufzubauen.
IKE besteht aus 2 Phasen, um einen IPSec-Tunnel zu bauen. Sie sind:
- IKE-Phase 1
- IKE-Phase 2
IKE Phase 1
Der Hauptzweck von IKE Phase 1 besteht darin, einen sicheren Tunnel zu erstellen, damit wir ihn für IKE Phase 2 verwenden können.
Die folgenden Schritte werden in der IKE-Phase ausgeführt 1
- Verhandlung
- DH-Schlüsselaustausch
- Authentifizierung
IKE Phase 2
Die IKE Phase 2 dient dem Schutz der Benutzerdaten. Der Schnellmodus ist in IKE Phase 2 Tunnel eingebaut. In IKE Phase 2 Tunnel Verhandlungen werden auf die folgenden Dinge getan werden.
- IPSec protokoll
- Kapselung modus
- Verschlüsselung
- Authentifizierung
- Lebensdauer
- DHCP (Optional)
IKE erstellt die Tunnel, authentifiziert oder verschlüsselt jedoch keine Benutzerdaten. Dazu verwenden wir zwei andere Protokolle:
- AH (Authentifizierungsheader)
- ESP (Encapsulating Security Payload)
Beide Protokolle AH und ESP unterstützen Authentifizierung und Integrität, aber ESP unterstützt auch Verschlüsselung. Aus diesem Grund ist ESP heutzutage das am häufigsten verwendete Protokoll.
Die beiden oben genannten Protokolle unterstützen zwei Modi. Sie sind
- Tunnelmodus
- Transportmodus
Einer der Hauptunterschiede zwischen den beiden Modi besteht darin, dass der ursprüngliche IP-Header im Transportmodus und der neue IP-Header im Tunnelmodus verwendet wird.
Der gesamte Prozess von IPSec erfolgt in fünf Schritten. Sie sind wie folgt
- Initiierung
- IKE Phase 1
- IKE Phase 2
- Datenübertragung
- Kündigung
Verwandt – GRE vs L2TP
GRE über IPSec:
Da wir wissen, dass GRE ein Kapselungsprotokoll ist und die Daten nicht verschlüsseln kann, verwenden wir die Hilfe von IPSec, um die Verschlüsselung zu erledigen.
GRE over IPSec kann in zwei Modi konfiguriert werden.
- GRE IPSec-Tunnelmodus
- GRE IPSec-Transportmodus
GRE IPSec-Tunnelmodus:
Im GRE-IPSec-Tunnelmodus wird das gesamte GRE-Paket innerhalb des IPSec-Pakets gekapselt, verschlüsselt und geschützt. Im GRE IPSec-Tunnelmodus wird dem Paket ein erheblicher Overhead hinzugefügt, wodurch der nutzbare freie Speicherplatz für unsere Nutzlast verringert wird und bei der Übertragung von Daten über einen GRE IPSec-Tunnel zu einer stärkeren Fragmentierung führen kann.
Die obige Paketstruktur zeigt GRE über IPSec im Tunnelmodus.
GRE IPSec-Transportmodus:
Im GRE-IPSec-Transportmodus wird das GRE-Paket innerhalb des IPSec-Pakets gekapselt und verschlüsselt, aber der GRE-IP-Header wird vorne platziert und nicht auf dieselbe Weise verschlüsselt wie im Tunnelmodus. Der Transportmodus ist keine Standardkonfiguration und muss mit dem folgenden Befehl unter dem IPSec-Transformationssatz konfiguriert werden:
Der GRE IPSec-Transportmodus kann nicht verwendet werden, wenn der Kryptotunnel ein Gerät mit Network Address Translation (NAT) oder Port Address Translation (PAT) passiert. In diesem Fall wird der Tunnelmodus verwendet. Der GRE-IPSec-Transportmodus kann nicht verwendet werden, wenn die GRE-Tunnelendpunkte und die Kryptotunnelendpunkte unterschiedlich sind.
Die obige Paketstruktur zeigt GRE über IPSec im Transportmodus.
IPSec Over GRE
In IPSec over GRE werden die Pakete, die mit IPSec gekapselt wurden, von GRE gekapselt. In IPSec über GRE erfolgt die IPSec-Verschlüsselung über Tunnelschnittstellen. Das Endbenutzersystem erkennt Datenflüsse, die auf Tunnelschnittstellen verschlüsselt werden müssen. Eine ACL wird festgelegt, um Datenflüsse zwischen zwei Benutzernetzwerksegmenten abzugleichen. Pakete, die mit der ACL abgeglichen werden, werden in IPSec-Pakete und dann in GRE-Pakete gekapselt, bevor sie über den Tunnel gesendet werden. Pakete, die nicht mit der ACL übereinstimmen, werden ohne IPSec-Kapselung direkt über den GRE-Tunnel gesendet. IPSec over GRE beseitigt den zusätzlichen Aufwand für die Verschlüsselung des GRE-Headers.
GRE über IPSec vs. IPSec über GRE
| GRE ÜBER IPSec | IPSec ÜBER GRE |
|---|---|
| Zusätzlicher Overhead wird Paketen durch Verschlüsselung des GRE-Headers hinzugefügt | Entfernt den zusätzlichen Overhead der Verschlüsselung des GRE-Headers. |
| IP-Multicast- und Nicht-IP-Protokolle werden unterstützt | IP-Multicast- und Nicht-IP-Protokolle werden nicht unterstützt |
| Unterstützt dynamische IGP-Routingprotokolle über den VPN-Tunnel | Unterstützt keine dynamischen IGP-Routingprotokolle über den VPN-Tunnel |
| Alle primären und Backup-Point-to-Point-GRE-over-IPSec-Tunnel sind vorkonfiguriert, so dass im Falle eines Ausfalls kein neuer Tunnel eingerichtet werden muss. | Es werden keine Sicherungspunkt-zu-Punkt-Tunnel eingerichtet, um das Ereignisfehlerszenario zu überwinden. |
Laden Sie die Differenztabelle hier herunter.
Leave a Reply