GRE yli IPsec vs IPsec yli GRE: yksityiskohtainen vertailu
GRE yli IPsec vs IPsec yli GRE
mikä on GRE?
Generic Routing Encapsulation (GRE) on Ciscon kehittämä tunnelointiprotokolla. Se on yksinkertainen IP-paketin kapselointiprotokolla. Yleistä reitityksen kapselointia käytetään, kun IP-paketteja on siirrettävä verkosta toiseen ilman, että mikään välireititin ilmoittaa niitä IP-paketeiksi.
GRE antaa kahden loppukäyttäjän jakaa tietoja, joita he eivät voisi jakaa julkisessa verkossa. Se tukee mitä tahansa OSI-tason 3 protokollaa. Se käyttää protokollaa 47. GRE-tunnelit tukevat kapselointia sekä unicast-että multicast-paketeille. GRE voi kuljettaa IPv6-ja multicast-liikennettä verkkojen välillä. GRE-tunneleita ei kuitenkaan pidetä turvallisena protokollana, koska siitä puuttuu hyötykuormien salaus.
mitä IPsec on?
IPSEC tulee sanoista Internet Protocol Security. Se on Internet Engineering Task Force (IETF) sarja protokollia kahden Viestintäpisteen välillä Internet-Protokollaverkossa, jotka tarjoavat tietojen todennuksen, tietojen eheyden ja luottamuksellisuuden. Ipseciä käytetään enimmäkseen VPN: ien perustamiseen, ja se toimii salaamalla IP-paketteja sekä todentamalla lähde, josta paketit tulevat.
Related-GRE VS IPSEC
meidän on luotava IPsec-tunneli kahden IPsec-vertaisen välille ennen kuin suojaamme IP-paketteja. Käytämme IPSec-tunnelin muodostamiseen protokollaa nimeltä Ike (Internet Key Exchange).
IKE koostuu kahdesta vaiheesta IPsec-tunnelin rakentamiseksi. Ne ovat:
- IKE – Vaihe 1
- IKE-Vaihe 2
IKE-Vaihe 1
Ike-vaiheen 1 päätarkoitus on luoda turvallinen tunneli, jotta sitä voidaan käyttää IKE-vaiheessa 2.
seuraavat vaiheet tehdään IKE-vaiheessa 1
- neuvottelu
- DH-avaimen vaihto
- todennus
IKE-Vaihe 2
Ike-vaihetta 2 käytetään käyttäjän tietojen suojaamiseen. Pikatila on rakennettu Ike-vaiheen 2 tunneliin. IKE-vaiheessa 2 tunnelineuvottelut tehdään seuraavista asioista.
- IPsec-protokolla
- Kapselointitila
- salaus
- todennus
- elinaika
- DH-vaihto (valinnainen)
IKE rakentaa tunnelit, mutta se ei Todenna tai salaa käyttäjän tietoja. Tähän käytämme kahta muuta protokollaa:
- AH (Authentication Header)
- ESP (koteloi Turvahyötykuorman)
molemmat protokollat AH ja ESP tukevat todennusta ja eheyttä, mutta ESP tukee myös salausta. Tästä syystä ESP on nykyisin yleisimmin käytetty protokolla.
edellä mainitut kaksi protokollaa tukevat kahta moodia. Ne ovat
- Tunnelitila
- kuljetustila
yksi suurimmista eroista näiden kahden tilan välillä on se, että kuljetustilassa käytetään alkuperäistä IP-otsaketta ja Tunnelitilassa uutta IP-otsaketta.
koko IPsec-prosessi tehdään viidessä vaiheessa. Ne ovat seuraavat:
- aloitus
- IKE Vaihe 1
- IKE Vaihe 2
- Tiedonsiirto
- Päättyminen
Related – GRE vs L2TP
GRE yli IPsec:
koska tiedämme, että GRE on kapselointiprotokolla, eikä se voi salata tietoja, joten käytämme IPSec: n apua salauksen tekemiseen.
Gre yli IPsec voidaan konfiguroida kahdessa tilassa.
- GRE IPsec-Tunnelitila
- GRE IPsec-Tunnelitila
GRE IPsec-Tunnelitila:
GRE IPsec-Tunnelitilassa koko GRE-paketti on kapseloitu, salattu ja suojattu IPsec-paketin sisällä. GRE IPsec-tunnelitilassa pakettiin lisätään merkittävä ylijännite, minkä vuoksi hyötykuormallemme käytettävissä oleva vapaa tila vähenee ja voi johtaa suurempaan sirpaloitumiseen lähetettäessä dataa GRE IPsec-tunnelissa.
yllä oleva pakettirakenne näyttää GRE: n IPsec: n yli tunnelitilassa.
Gre IPsec – kuljetustapa:
GRE IPsec-kuljetustilassa GRE-paketti on kapseloitu ja salattu IPsec-paketin sisälle, mutta GRE IP-otsikko on sijoitettu etupuolelle eikä sitä ole salattu samalla tavalla kuin Tunnelitilassa. Kuljetustila ei ole oletusasetus, ja se on määritettävä käyttämällä seuraavaa IPsec-muunnosjoukon komentoa:
GRE IPsec transport mode is not possible to use if the crypto tunnel Passage a device using Network Address Translation (NAT) or Port Address Translation (Pat). Tällöin käytetään Tunnelitilaa. GRE IPsec-kuljetustapaa ei voida käyttää, jos GRE-tunnelin päätepisteet ja Kryptotunnelin päätepisteet ovat erilaisia.
yllä oleva pakettirakenne näyttää GRE: n IPsec: n yli kuljetustilassa.
IPsec yli GRE
IPSec yli GRE paketit, jotka on kapseloitu IPSec: llä, kapseloidaan GRE: llä. IPsec-järjestelmässä GRE IPsec-salaus tehdään tunnelirajapinnoissa. Loppukäyttäjäjärjestelmät tunnistavat tunnelirajapinnoissa salattavat tietovirrat. ACL on asetettu vastaamaan datavirtoja kahden käyttäjän verkon segmentin välillä. ACL: n kanssa yhteensopivat paketit kapseloidaan IPSec-paketeiksi ja sitten GRE-paketeiksi ennen kuin ne lähetetään tunnelin yli. Paketit, jotka eivät täsmää ACL: n kanssa, lähetetään suoraan GRE-tunnelin yli ilman IPsec-kapselointia. IPsec over GRE poistaa GRE-otsakkeen salauksen ylimääräiset yleiskustannukset.
GRE yli IPsec vs. IPsec yli GRE
| GRE yli IPSec | IPSec yli GRE |
|---|---|
| lisäkustannuksia lisätään paketteihin salaamalla GRE-otsake | poistaa GRE-otsakkeen salauksen ylimääräiset yleiskustannukset. |
| IP-monilähetys-ja ei-IP-protokollia tuetaan | IP-monilähetys-ja ei-IP-protokollia ei tueta |
| tukee dynaamisia IGP-reititysprotokollia VPN-tunnelin yli | ei tue dynaamisia IGP-reititysprotokollia VPN-tunnelin yli |
| kaikki primääritunnelit ja varapisteestä pisteeseen Gre yli IPSec-tunnelit on esiasetettu, joten vikatilanteessa uutta tunnelia ei tarvitse perustaa. | tapahtumahäiriöskenaarion voittamiseksi ei ole perustettu varapisteestä pisteeseen-tunneleita. |
Lataa erotaulukko täältä.
Leave a Reply