Articles /

GRE over IPsec vs IPsec over GRE:詳細な比較

GRE over IPsec vs IPsec over GRE:詳細な比較

GREとは何ですか。

Generic Routing Encapsulation(GRE)は、シスコが開発したトンネリングプロトコルです。 これは、単純なIPパケットカプセル化プロトコルです。 汎用ルーティングカプセル化は、IPパケットをあるネットワークから別のネットワークに転送する必要がある場合に使用されます。


GREを使用すると、2人のエンドユーザーがパブリックネットワーク経由で共有できないデータを共有できます。 これは、任意のOSIレイヤ3プロトコルをサポートしています。 プロトコル47を使用しています。 GREトンネルは、ユニキャストパケットとマルチキャストパケットの両方のカプセル化をサポートします。 GREは、ネットワーク間でIpv6およびマルチキャストトラフィックを運ぶことができます。 ただし、Greトンネルはペイロードの暗号化がないため、安全なプロトコルとはみなされません。

IPsecとは何ですか?

IPSECはインターネットプロトコルセキュリティの略です。 これは、データ認証、データ整合性、および機密性を提供する、インターネットプロトコルネットワーク上の2つの通信ポイント間のプロトコルのInternet Engineering Task Force(IETF)スイートです。 IPsecは主にVpnの設定に使用され、ipパケットを暗号化し、パケットの送信元を認証することによって機能します。

Related–GRE VS IPSEC

IPパケットを保護する前に、2つのIPsecピア間にIPsecトンネルを確立する必要があります。 IPsecトンネルを確立するためにIKE(Internet Key Exchange)と呼ばれるプロトコルを使用します。

IKEはIPsecトンネルを構築するための2つのフェーズで構成されています。 彼らは:

  • IKEフェーズ1
  • IKEフェーズ2

Ikeフェーズ1

IKEフェーズ1の主な目的は、ikeフェーズ2に使用できるように安全なトンネルを作成することです。

IKEフェーズでは、次の手順を実行します1

  • ネゴシエーション
  • DHキー交換
  • 認証

IKEフェーズ2

IKEフェーズ2は、ユーザーデータを保護するために使用されます。 クイックモードは、IKEフェーズ2トンネル内に組み込まれています。 IKEフェーズ2では、以下のことについてトンネル交渉が行われます。

  • IPsecプロトコル
  • カプセル化モード
  • 暗号化
  • 認証
  • ライフタイム
  • DH交換(オプション)

ikeはトンネルを構築しますが、ユーザーデータの認証や暗号化は行いません。 このためには、他の二つのプロトコルを使用します:

  • AH(認証ヘッダー)
  • ESP(セキュリティペイロードをカプセル化する))

プロトコルAHとESPの両方が認証と整合性をサポートしますが、ESPも暗号化をサポートします。 このため、ESPは現在最も一般的に使用されているプロトコルです。

上記の二つのプロトコルは二つのモードをサポートしています。

  • トンネルモード
  • トランスポートモード

二つのモードの主な違いの一つは、元のIPヘッダーがトランスポートモードで使用され、新しいIPヘッダーがトンネ

IPsecの全プロセスは5つのステップで行われます。 それらは次の通りあります

  • 開始
  • IKE段階1
  • IKE段階2
  • データ転送
  • 終了

関連–GRE対L2TP

GRE over IPsec:

greはカプセル化プロトコルであり、データを暗号化できないことがわかっているので、暗号化ジョブを完了するためにipsecの助けを借りています。

GRE over IPsecは2つのモードで設定できます。

  • GRE IPsecトンネルモード
  • GRE IPsecトランスポートモード

GRE IPsecトンネルモード:

GRE IPsecトンネルモードでは、GREパケット全体がipsecパケット内にカプセル化され、暗号化され、保護されます。 GRE IPsecトンネルモードでは、ペイロードに使用可能な空き領域が減少し、GRE IPsecトンネルを介してデータを送信するときに断片化が増える可能性があるため、パケ

上記のパケット構造は、トンネルモードでのGRE over IPsecを示しています。

:

GRE IPsecトランスポートモードでは、GREパケットはIPsecパケット内にカプセル化され、暗号化されますが、GRE IPヘッダーは前面に配置され、トンネルモードと同じ方法で暗号化されません。 トランスポートモードは既定の構成ではないため、IPsec変換セットの下で次のコマンドを使用して構成する必要があります:

R1(cfg-crypto-trans)#mode transport

GRE IPsec transport modeは、暗号トンネルがネットワークアドレス変換(NAT)またはポートアドレス変換(PAT)を使用してデバイスを通過する場合、使用できません。 その場合、トンネルモードが使用されます。 GREトンネルエンドポイントと暗号トンネルエンドポイントが異なる場合、GRE IPsecトランスポートモードは使用できません。

上記のパケット構造は、トランスポートモードでのGRE over IPsecを示しています。

IPsec Over GRE

IPsec over GREでは、IPSecを使用してカプセル化されたパケットはGREによってカプセル化されます。 IPSEC over GREでは、ipsec暗号化はトンネルインターフェイスで行われます。 エンドユーザシステムは、トンネルインタフェース上で暗号化する必要があるデータフローを検出します。 ACLは、2つのユーザネットワークセグメント間のデータフローに一致するように設定されます。 ACLと一致するパケットは、トンネル経由で送信される前にIPSecパケットにカプセル化され、次にGREパケットにカプセル化されます。 ACLと一致しないパケットは、IPsecカプセル化せずにGREトンネルを介して直接送信されます。 IPsec over GREは、GREヘッダーを暗号化するための追加のオーバーヘッドを削除します。

IPSECを介したGREとIPsecを介したGRE

GRE OVER IPSEC IPSec OVER GRE
GREヘッダー を暗号化することにより、パケットに追加のオーバーヘッドが追加され、GREヘッダーを暗号化する追加のオーバーヘッドが削除されます。
IPマルチキャストおよび非IPプロトコルがサポートされています IPマルチキャストおよび非IPプロトコルはサポートされていません
VPNトンネル経由の動的IGPルーティングプロトコルをサポート は、VPNトンネル経由の動的IGPルーティングプロトコルをサポートしていません
すべてのプライマリおよびバックアップのポイントツーポイントGRE Over IPSecトンネルは事前に確立されているため、イベント障害シナリオでは新しいトンネ イベント障害のシナリオを克服するためのバックアップポイントツーポイントトンネルは確立されていません。

差分表はこちらからダウンロードできます。

広告


Leave a Reply