Articles /

GRE over IPSec vs IPSec over GRE: Confronto dettagliato

GRE over IPSec vs IPSec over GRE

Che cosa è GRE?

Generic Routing Encapsulation (GRE) è un protocollo di tunneling sviluppato da Cisco. È un semplice protocollo di incapsulamento dei pacchetti IP. L’incapsulamento di routing generico viene utilizzato quando i pacchetti IP devono essere trasportati da una rete a un’altra rete, senza essere notificati come pacchetti IP da alcun router intermedio.

Pubblicità


GRE consente a due utenti finali di condividere dati che non sarebbero in grado di condividere sulla rete pubblica. Supporta qualsiasi protocollo Layer Layer 3. Utilizza il protocollo 47. I tunnel GRE supportano l’incapsulamento sia per i pacchetti unicast che multicast. GRE può trasportare traffico IPv6 e multicast tra reti. Tuttavia, i tunnel GRE non sono considerati un protocollo sicuro perché manca la crittografia dei Payload.

Che cos’è IPSec?

IPSEC è l’acronimo di Internet Protocol Security. Si tratta di una suite di protocolli Internetf (Internet Engineering Task Force) tra due punti di comunicazione attraverso la rete Internet Protocol che forniscono l’autenticazione dei dati, l’integrità dei dati e la riservatezza. IPSec è utilizzato principalmente per configurare le VPN e funziona crittografando i pacchetti IP, insieme all’autenticazione della sorgente da cui provengono i pacchetti.

Related – GRE VS IPSEC

Dobbiamo stabilire un tunnel IPSec tra due peer IPSec prima di proteggere qualsiasi pacchetto IP. Usiamo il protocollo chiamato IKE (Internet Key Exchange) per stabilire un tunnel IPSec.

IKE consiste di 2 fasi per costruire un tunnel IPSec. Lo sono:

  • IKE Fase 1
  • IKE Fase 2

IKE Phase 1

Lo scopo principale di IKE phase 1 è quello di creare un tunnel sicuro in modo che possa essere utilizzato per IKE phase 2.

I seguenti passaggi vengono eseguiti in fase IKE 1

  • Negoziazione
  • Scambio chiavi DH
  • Autenticazione

IKE phase 2

L’IKE phase 2 viene utilizzato per proteggere i dati dell’utente. Modalità rapida è costruito in IKE fase 2 tunnel. Nella fase IKE 2 tunnel negoziazione sarà fatto sulle seguenti cose.

  • Protocollo IPSec
  • Modalità di incapsulamento
  • Crittografia
  • Autenticazione
  • Tempo di vita
  • Scambio DH (opzionale)

IKE costruisce i tunnel ma non autentica o crittografa i dati dell’utente. Per questo usiamo altri due protocolli:

  • AH (Intestazione di autenticazione)
  • ESP (Encapsulating Security Payload)

Entrambi i protocolli AH e ESP supporta l’autenticazione e l’integrità, ma ESP supporta anche la crittografia. Per questo motivo, ESP è il protocollo più comunemente usato al giorno d’oggi.

I due protocolli di cui sopra supportano due modalità. Sono

  • Modalità tunnel
  • Modalità di trasporto

Una delle principali differenze tra le due modalità è che l’intestazione IP originale viene utilizzata nella modalità di trasporto e la nuova intestazione IP viene utilizzata nella modalità Tunnel.

L’intero processo di IPSec è fatto in cinque passaggi. Essi sono come segue

  • Iniziazione
  • IKE Fase 1
  • IKE Fase 2
  • Trasferimento Dati
  • Disdetta

Related – GRE vs L2TP

GRE su IPsec:

Come sappiamo che la GRE è un protocollo di incapsulamento e non può cifrare i dati, così prendiamo l’aiuto di IPsec per ottenere la crittografia lavoro fatto.

GRE su IPSec può essere configurato in due modalità.

  • GRE IPSec Modalità Tunnel
  • GRE IPSec Modalità di trasporto

GRE IPSec Modalità Tunnel:

In modalità Tunnel GRE IPSec l’intero pacchetto GRE viene incapsulato, crittografato e protetto all’interno del pacchetto IPSec. Un sovraccarico significativo viene aggiunto al pacchetto nella modalità tunnel GRE IPSec a causa della quale lo spazio libero utilizzabile per il nostro carico utile è diminuito e può portare a una maggiore frammentazione quando si trasmettono dati su un tunnel GRE IPSec.

La struttura del pacchetto di cui sopra mostra GRE su IPSec in modalità tunnel.

GRE IPSec Modalità di trasporto:

Nella modalità di trasporto GRE IPSec, il pacchetto GRE viene incapsulato e crittografato all’interno del pacchetto IPSec, ma l’intestazione IP GRE viene posizionata nella parte anteriore e non viene crittografata allo stesso modo in cui è in modalità Tunnel. La modalità di trasporto non è una configurazione di default e deve essere configurato utilizzando il seguente comando in IPsec trasformare set:

R1 (cfg-crypto-trans) # modalità di trasporto

GRE modalità di trasporto IPsec non è possibile utilizzare se la crypto tunnel passa un dispositivo che utilizza il Network Address Translation (NAT) o Port Address Translation (PAT). In tal caso, viene utilizzata la modalità Tunnel. La modalità di trasporto GRE IPSec non può essere utilizzata se gli endpoint del tunnel GRE e gli endpoint del tunnel Crypto sono diversi.

La struttura del pacchetto di cui sopra mostra GRE su IPSec in modalità di trasporto.

IPSec su GRE

In IPSec su GRE i pacchetti che sono stati incapsulati utilizzando IPSec sono incapsulati da GRE. In IPSec su GRE La crittografia IPSec viene eseguita su interfacce tunnel. I sistemi dell’utente finale rileva i flussi di dati che devono essere crittografati sulle interfacce tunnel. Un ACL è impostato per abbinare i flussi di dati tra due segmenti di rete utente. I pacchetti che sono abbinati all’ACL vengono incapsulati in pacchetti IPSec e quindi in pacchetti GRE prima di essere inviati attraverso il tunnel. I pacchetti che non corrispondono con l’ACL vengono inviati direttamente attraverso il tunnel GRE senza incapsulamento IPSec. IPSec su GRE rimuove il sovraccarico aggiuntivo della crittografia dell’intestazione GRE.

GRE su IPSec vs IPSec su GRE

GRE SU IPSec IPSec SU GRE
L’overhead aggiuntivo viene aggiunto ai pacchetti crittografando l’intestazione GRE Rimuove l’overhead aggiuntivo della crittografia dell’intestazione GRE.
IP multicast e non-IP protocolli sono supportati IP multicast e non-IP protocolli non sono supportati
Supporta dinamico protocolli di routing IGP nel tunnel VPN non supporta dinamico protocolli di routing IGP nel tunnel VPN
primario e di backup point-to-point GRE su IPSec tunnel di pre-stabilita, in modo che in caso di guasto scenario di un nuovo tunnel non ha bisogno di essere fondata. Non vengono stabiliti tunnel punto a punto di backup per superare lo scenario di errore dell’evento.

Scarica la tabella delle differenze qui.

Pubblicità


Leave a Reply