Articles /

GRE over IPsec vs IPsec over GRE: Detaljert Sammenligning

GRE over IPsec vs IPsec over GRE

Hva er GRE?

GENERIC Routing Encapsulation (GRE) Er En Utviklet tunnelprotokoll Fra Cisco. DET er en enkel IP pakke innkapsling protokollen. Generisk Ruting Innkapsling brukes når IP-pakker må transporteres fra ett nettverk til et annet nettverk, uten å bli varslet SOM IP-pakker av noen mellomliggende rutere.

Annonser


GRE lar to sluttbrukere dele data som de ikke ville kunne dele over det offentlige nettverket. Den støtter ALLE OSI Layer 3-protokollen. Den bruker Protokoll 47. GRE tunneler støtter innkapsling for både unicast og multicast pakker. GRE kan bære IPv6 og multicast-trafikk mellom nettverk. GRE-tunneler anses imidlertid ikke som en sikker protokoll fordi den mangler kryptering av Nyttelast.

Hva Er IPsec?

IPSEC står For Internet Protocol Security. Det Er En Internet Engineering Task Force (Ietf) pakke med protokoller mellom to kommunikasjonspunkter på Tvers Av Internet Protocol-nettverket som gir dataautentisering, dataintegritet og konfidensialitet. IPsec brukes mest til å sette Opp Vpn-Er, og fungerer ved å kryptere IP-pakker, sammen med å autentisere kilden der pakkene kommer fra.

Related-GRE VS IPSEC

Vi må etablere En IPsec-tunnel mellom To ipsec-jevnaldrende før vi beskytter EVENTUELLE IP-pakker. Vi bruker protokoll kalt Ike (Internet Key Exchange) for å etablere En IPsec-tunnel.

ike består av 2 faser for å bygge En IPsec-tunnel. De er:

  • IKE Fase 1
  • IKE Fase 2

ike Fase 1

hovedformålet MED ike fase 1 er å skape en sikker tunnel slik at den kan brukes til ike fase 2.

følgende trinn er gjort i IKE-fase 1

  • Forhandling
  • dh Nøkkelutveksling
  • Godkjenning

ike fase 2

IKE fase 2 brukes til å beskytte brukerdataene. Hurtigmodus er bygget i IKE fase 2 tunnel. I IKE fase 2 tunnel forhandling vil bli gjort pa folgende ting.

  • IPsec-protokoll
  • Innkapslingsmodus
  • Kryptering
  • Autentisering
  • Levetid
  • Dh-Utveksling (Valgfritt)

ike konstruere tunneler, men det ikke godkjenne eller kryptere brukerdata. For dette bruker vi to andre protokoller:

  • AH (Autentiseringshode)
  • ESP (Innkapsling Av Sikkerhetsnyttelast)

BÅDE protokollene AH og ESP støtter autentisering og integritet, MEN ESP støtter kryptering også. PÅ grunn AV DENNE grunn ER ESP den mest brukte protokollen i dag.

de ovennevnte to protokollene støtter to moduser. De er

  • Tunnelmodus
  • Transportmodus

en av hovedforskjellen mellom de to modusene er at original IP-header brukes I Transportmodus og ny IP-header brukes i Tunnelmodus.

Hele Prosessen Med IPsec er gjort i fem trinn. De er som følger

  • Initiering
  • Ike Fase 1
  • Ike Fase 2
  • Dataoverføring
  • Avslutning

RELATERT – GRE vs L2TP

GRE over IPsec:

som vi vet at gre er en innkapslingsprotokoll, og den kan ikke kryptere dataene, så vi tar hjelp av ipsec for å få krypteringsjobben gjort.

GRE Over IPsec kan konfigureres i to moduser.

  • GRE IPsec Tunnelmodus
  • GRE IPsec Transportmodus

GRE IPsec Tunnelmodus:

i GRE IPsec Tunnelmodus er hele GRE-pakken innkapslet, kryptert og beskyttet inne I IPsec-pakken. En betydelig overhead legges til pakken i GRE IPsec tunnelmodus på grunn av hvilken brukbar ledig plass til nyttelasten vår er redusert og kan føre til mer fragmentering ved overføring av data over EN GRE IPsec-Tunnel.

ovennevnte pakkestruktur viser GRE over IPsec i tunnelmodus.

GRE IPsec Transportmodus:

I GRE IPsec-transportmodus er GRE-pakken innkapslet og kryptert inne I IPsec-pakken, men GRE IP-Hodet er plassert foran og det er ikke kryptert på samme måte som Det er I Tunnelmodus. Transportmodus er ikke en standardkonfigurasjon, Og den må konfigureres ved hjelp av følgende kommando Under IPsec-transformasjonssettet:

R1 ( cfg-crypto-trans) # mode transport

GRE IPsec transportmodus er ikke mulig å bruke HVIS kryptotunnelen passerer en enhet ved Hjelp Av Network Address Translation (NAT) eller Port Address Translation (PAT). I Så fall brukes Tunnelmodus. GRE IPsec-transportmodus kan ikke brukes hvis GRE-tunnelendepunktene og Kryptotunnelendepunktene er forskjellige.

ovennevnte pakkestruktur viser GRE over IPsec i transportmodus.

IPsec Over GRE

i IPsec over GRE er pakkene som er innkapslet ved Hjelp Av IPSec innkapslet AV GRE. I IPsec OVER GRE IPsec kryptering er gjort på tunnel grensesnitt. Sluttbrukersystemene oppdager datastrømmer som må krypteres på tunnelgrensesnitt. EN ACL er satt til å matche datastrømmer mellom to brukernettverkssegmenter. Pakker som matches MED ACL er innkapslet I IPSec-pakker og deretter INN I GRE-pakker før de sendes over tunnelen. Pakker som ikke samsvarer MED ACL, sendes direkte over GRE-tunnelen uten IPsec-innkapsling. IPsec over GRE fjerner ekstra overhead for kryptering AV GRE-header.

GRE Over IPsec vs IPsec over GRE

GRE Over IPSec IPSec OVER GRE
Ekstra overhead legges til pakker Ved å kryptere GRE-Header Fjerner ekstra overhead for å kryptere GRE-header.
ip multicast-og ikke-IP-protokoller støttes ip multicast-og ikke-IP-protokoller støttes ikke
Støtter dynamiske IGP-rutingsprotokoller over VPN-tunnelen støtter ikke dynamiske IGP-rutingsprotokoller over VPN-tunnelen
alle primære OG backup punkt-TIL-punkt GRE Over IPSec tunneler er pre-etablert, slik at i tilfelle svikt scenario en ny tunnel trenger ikke å bli etablert. ingen backup punkt til punkt tunneler er etablert for å overvinne hendelsen feil scenario.

Last ned forskjellen tabellen her.

Annonser


Leave a Reply