GRE sobre IPsec vs IPsec sobre GRE: Comparación detallada
GRE sobre IPsec vs IPsec sobre GRE
¿Qué es GRE?
La encapsulación de enrutamiento genérico (GRE) es un protocolo de túnel desarrollado por Cisco. Es un protocolo de encapsulación de paquetes IP simple. La encapsulación de enrutamiento genérico se utiliza cuando los paquetes IP necesitan ser transportados de una red a otra, sin ser notificados como paquetes IP por ningún enrutador intermedio.
GRE permite a dos usuarios finales compartir datos que no podrían compartir a través de la red pública. Es compatible con cualquier protocolo de capa 3 de OSI. Utiliza el Protocolo 47. Los túneles GRE admiten encapsulación para paquetes unicast y multicast. GRE puede transportar tráfico IPv6 y multidifusión entre redes. Sin embargo, los túneles GRE no se consideran un protocolo seguro porque carecen de cifrado de cargas útiles.
¿Qué es IPsec?
IPSEC significa Seguridad del Protocolo de Internet. Es un conjunto de protocolos del Grupo de Trabajo de Ingeniería de Internet (IETF) entre dos puntos de comunicación a través de la red de Protocolo de Internet que proporcionan autenticación de datos, integridad de datos y confidencialidad. IPsec se utiliza principalmente para configurar VPN, y funciona cifrando paquetes IP, junto con la autenticación de la fuente de donde provienen los paquetes.
Relacionado-GRE VS IPSEC
Tenemos que establecer un túnel IPsec entre dos pares IPsec antes de proteger cualquier paquete IP. Utilizamos el protocolo llamado IKE (Intercambio de claves de Internet) para establecer un túnel IPsec.
IKE consta de 2 fases para construir un túnel IPsec. Lo son:
- Fase IKE 1
- Fase IKE 2
Fase 1 de IKE
El propósito principal de la fase 1 de IKE es crear un túnel seguro para que podamos usarlo para la fase 2 de IKE.
Los siguientes pasos se realizan en la fase IKE 1
- Negociación
- Intercambio de claves DH
- Autenticación
Fase 2 de IKE
La fase 2 de IKE se utiliza para proteger los datos del usuario. El modo rápido está integrado en el túnel de fase 2 de IKE. En la fase 2 de IKE, la negociación del túnel se realizará en las siguientes cosas.
- protocolo IPsec
- modo de encapsulado
- Autenticación
- tiempo de Vida
- Intercambio DH (Opcional)
IKE construcción de los túneles, pero no autenticar o cifrar los datos del usuario. Para ello utilizamos otros dos protocolos:
- AH (Encabezado de autenticación)
- ESP (Carga útil de seguridad Encapsulada)
Ambos protocolos AH y ESP admiten autenticación e integridad, pero ESP también admite cifrado. Por esta razón, ESP es el protocolo más utilizado hoy en día.
Los dos protocolos anteriores admiten dos modos. Son
- Modo de túnel
- Modo de transporte
Una de las principales diferencias entre los dos modos es que el encabezado IP original se usa en el modo de transporte y el nuevo encabezado IP se usa en el modo de túnel.
todo El proceso de IPsec se realiza en cinco pasos. Son los siguientes
- Inicio
- IKE Fase 1
- IKE Fase 2
- Transferencia de datos
- Terminación
GRE vs L2TP relacionado
GRE sobre IPsec:
Como sabemos que GRE es un protocolo de encapsulación y no puede cifrar los datos, tomamos la ayuda de IPsec para realizar el trabajo de cifrado.
GRE sobre IPsec se puede configurar en dos modos.
- Modo de túnel GRE IPsec
- Modo de transporte GRE IPsec
Modo de túnel GRE IPsec:
En el modo Túnel GRE IPsec, todo el paquete GRE está encapsulado, cifrado y protegido dentro del paquete IPsec. Se agrega una sobrecarga significativa al paquete en el modo de túnel GRE IPsec, debido a lo cual se reduce el espacio libre utilizable para nuestra carga útil y puede conducir a una mayor fragmentación al transmitir datos a través de un túnel GRE IPsec.
La estructura de paquetes anterior muestra GRE sobre IPsec en modo túnel.
Modo de transporte GRE IPsec:
En el modo de transporte GRE IPsec, el paquete GRE se encapsula y cifra dentro del paquete IPsec, pero el encabezado IP GRE se coloca en la parte frontal y no se cifra de la misma manera que en el modo Túnel. El modo de transporte no es una configuración predeterminada y debe configurarse con el siguiente comando en el conjunto de transformaciones IPsec:
El modo de transporte GRE IPsec no se puede usar si el túnel criptográfico pasa por un dispositivo que usa Traducción de Direcciones de Red (NAT) o Traducción de Direcciones de Puerto (PAT). En ese caso, se utiliza el modo túnel. El modo de transporte GRE IPsec no se puede utilizar si los extremos del túnel GRE y los extremos del túnel criptográfico son diferentes.
La estructura de paquetes anterior muestra GRE sobre IPsec en modo de transporte.
IPsec Sobre GRE
En IPsec sobre GRE los paquetes que se han encapsulado usando IPsec son encapsulados por GRE. En IPsec sobre GRE, el cifrado IPsec se realiza en interfaces de túnel. Los sistemas de usuario final detectan flujos de datos que deben cifrarse en interfaces de túnel. Una ACL se establece para que coincida con los flujos de datos entre dos segmentos de red de usuarios. Los paquetes que coinciden con el ACL se encapsulan en paquetes IPsec y luego en paquetes GRE antes de enviarlos a través del túnel. Los paquetes que no coinciden con el ACL se envían directamente a través del túnel GRE sin encapsular IPsec. IPsec sobre GRE elimina la sobrecarga adicional de cifrar el encabezado GRE.
GRE sobre IPsec vs IPsec sobre GRE
| GRE SOBRE IPsec | IPsec SOBRE GRE |
|---|---|
| Se agrega sobrecarga adicional a los paquetes cifrando el encabezado GRE | Elimina la sobrecarga adicional de cifrar el encabezado GRE. |
| Se admiten protocolos de multidifusión IP y no IP | No se admiten protocolos de multidifusión IP y no IP |
| Admite protocolos de enrutamiento IGP dinámico a través del túnel VPN | No admite protocolos de enrutamiento IGP dinámico a través del túnel VPN |
| Todos los túneles GRE primario y de respaldo punto a punto sobre IPsec están preestablecidos, de modo que en el escenario de falla de evento no es necesario establecer un nuevo túnel. | No se establecen túneles de respaldo punto a punto para superar el escenario de error de evento. |
Descargue la tabla de diferencias aquí.
Leave a Reply