Articles /

GRE over IPsec vs IPsec over gre: részletes összehasonlítás

GRE over IPsec vs IPsec over gre

mi a GRE?

a Generic Routing Encapsulation (gre) egy Cisco által kifejlesztett tunneling protokoll. Ez egy egyszerű IP csomag kapszulázási protokoll. Az Általános útválasztási kapszulázást akkor használják, amikor az IP-csomagokat egyik hálózatról a másikra kell szállítani, anélkül, hogy bármely közbenső útválasztó IP-csomagként értesítené őket.

hirdetések


a GRE lehetővé teszi két végfelhasználó számára, hogy megosszák azokat az adatokat, amelyeket nem tudnak megosztani a nyilvános hálózaton. Támogatja az OSI Layer 3 protokollt. A 47-es protokollt használja. A GRE alagutak támogatják a kapszulázást mind az unicast, mind a multicast csomagok számára. A GRE képes IPv6 és multicast forgalmat továbbítani a hálózatok között. A GRE alagutak azonban nem tekinthetők biztonságos protokollnak, mert hiányzik a hasznos terhelések titkosítása.

mi az IPsec?

az IPSEC az Internet Protocol Security rövidítése. Ez egy Internet Engineering Task Force (IETF) protokollcsomag két kommunikációs pont között az Internet Protocol hálózaton keresztül, amelyek adathitelesítést, adatintegritást és titoktartást biztosítanak. Az IPsec-et leginkább VPN-ek beállítására használják, és az IP-csomagok titkosításával működik, valamint a forrás hitelesítésével, ahonnan a csomagok származnak.

Related – GRE VS IPSEC

létre kell hoznunk egy IPsec alagutat két IPsec Társ között, mielőtt bármilyen IP-csomagot megvédenénk. Az IPsec alagút létrehozásához az Ike (Internet Key Exchange) nevű protokollt használjuk.

az IKE 2 fázisból áll, hogy IPsec alagutat építsen. Ezek:

  • IKE fázis 1
  • IKE fázis 2

IKE 1. fázis

az IKE 1.fázis fő célja egy biztonságos alagút létrehozása, hogy felhasználhassuk az IKE 2. fázishoz.

a következő lépéseket IKE fázisban végezzük 1

  • tárgyalás
  • DH KULCSCSERE
  • hitelesítés

IKE 2.fázis

az Ike 2. fázis a felhasználói adatok védelmére szolgál. Gyors mód van beépítve Ike fázis 2 alagút. Az IKE fázis 2 alagút tárgyalás kerül sor a következő dolgokat.

  • IPsec protokoll
  • kapszulázási mód
  • titkosítás
  • hitelesítés
  • élettartam
  • DH csere (opcionális)

az Ike építi az alagutakat, de nem hitelesíti vagy titkosítja a felhasználói adatokat. Ehhez két másik protokollt használunk:

  • AH (hitelesítési fejléc)
  • ESP (biztonsági hasznos teher beágyazása)

mind az AH, mind az ESP protokoll támogatja a hitelesítést és az integritást, de az ESP támogatja a titkosítást is. Emiatt az ESP manapság a leggyakrabban használt protokoll.

a fenti két protokoll két módot támogat. Ezek

  • alagút mód
  • szállítási mód

a két mód közötti fő különbség az, hogy az eredeti IP fejlécet használják a szállítási módban, az új IP fejlécet pedig az alagút módban.

az IPsec teljes folyamata öt lépésben történik. Ezek a következők

  • beavatás
  • Ike fázis 1
  • Ike fázis 2
  • adatátvitel
  • Befejezés

kapcsolódó – GRE vs L2TP

gre IPsec felett:

mivel tudjuk, hogy a gre egy kapszulázási protokoll, és nem tudja titkosítani az adatokat, ezért az IPsec segítségét vesszük igénybe a titkosítási munka elvégzéséhez.

az IPsec-en keresztüli GRE két módban konfigurálható.

  • GRE IPsec alagút mód
  • gre IPsec szállítási mód

gre IPsec alagút mód:

gre IPsec Tunnel módban a teljes gre csomag az IPsec csomagba van beágyazva, titkosítva és védve. A GRE IPsec alagút módban a csomaghoz jelentős többletköltség adódik, ami miatt a hasznos teher számára felhasználható szabad hely csökken, és nagyobb töredezettséghez vezethet, ha adatokat továbbít egy gre IPsec alagúton keresztül.

a fenti csomag szerkezete azt mutatja, gre IPsec alagút módban.

gre IPsec szállítási mód:

GRE IPsec szállítási módban a GRE csomag az IPsec csomagba van beágyazva és titkosítva, de a GRE IP fejléc elöl van elhelyezve, és nem titkosítva ugyanúgy, mint alagút módban. A szállítási mód nem alapértelmezett konfiguráció, ezért a következő paranccsal kell konfigurálni az IPsec transzformációs készlet alatt:

R1 (cfg-crypto-trans) # módú szállítás

GRE IPsec szállítási mód nem használható, ha a kripto alagút áthalad egy eszközön hálózati címfordítás (NAT) vagy Port címfordítás (Pat). Ebben az esetben alagút módot használnak. A GRE IPsec szállítási mód nem használható, ha a GRE Alagút végpontjai és a Crypto Alagút végpontjai eltérőek.

a fenti csomagstruktúra a GRE-t az IPsec-en keresztül mutatja szállítási módban.

IPsec Over GRE

az IPsec over gre-ben az IPSec használatával kapszulázott csomagokat a GRE kapszulázza. Az IPsec több mint GRE IPsec titkosítás történik alagút interfészek. A végfelhasználói rendszerek észlelik az adatfolyamokat, amelyeket titkosítani kell az alagút interfészeken. Az ACL úgy van beállítva, hogy megfeleljen a két felhasználói hálózati szegmens közötti adatáramlásnak. Az ACL-hez illeszkedő csomagokat IPSec-csomagokba, majd GRE-csomagokba kapszulázzák, mielőtt az alagúton keresztül küldenék őket. Azok a csomagok, amelyek nem egyeznek az ACL-lel, közvetlenül a GRE alagúton keresztül kerülnek elküldésre IPsec beágyazása nélkül. Az IPsec over GRE eltávolítja a GRE fejléc titkosításának további költségeit.

GRE IPsec felett vs IPsec gre felett

GRE IPSec felett IPSec GRE felett
a gre fejléc titkosításával további többletköltségeket adunk a csomagokhoz.
IP multicast és nem IP protokollok támogatottak IP multicast és nem IP protokollok nem támogatottak
támogatja a dinamikus IGP útválasztási protokollokat a VPN-alagúton keresztül nem támogatja a dinamikus IGP útválasztási protokollokat a VPN-alagúton keresztül
minden elsődleges és tartalék pont-pont gre IPsec alagutak előre létrehozott, így abban az esetben hiba forgatókönyv egy új alagút nem kell létrehozni. nincs biztonsági pont-pont alagutak létre, hogy felszámolja az esemény hiba forgatókönyv.

töltse le a különbség táblázatot itt.

reklámok


Leave a Reply