GRE over IPsec vs IPsec over GRE: gedetailleerde vergelijking
GRE over IPsec vs IPsec over GRE
Wat is GRE?
Generic Routing Encapsulation (GRE) is een door Cisco ontwikkeld tunneling protocol. Het is een eenvoudig IP packet encapsulation protocol. Generic routing Encapsulation wordt gebruikt wanneer IP-pakketten van het ene netwerk naar het andere netwerk moeten worden getransporteerd, zonder dat ze door tussenliggende routers als IP-pakketten worden aangemeld.
GRE laat twee eindgebruikers om gegevens die ze niet zouden kunnen delen via het openbare netwerk te delen. Het ondersteunt elk OSI Layer 3-protocol. Het maakt gebruik van Protocol 47. GRE tunnels ondersteunen inkapseling voor zowel unicast en multicast pakketten. GRE kan IPv6-en multicast-verkeer tussen netwerken vervoeren. Echter, GRE tunnels worden niet beschouwd als een veilig protocol, omdat het ontbreekt encryptie van Payloads.
Wat is IPsec?
IPSEC staat voor Internet Protocol Security. Het is een Internet Engineering Task Force (IETF) suite van protocollen tussen twee communicatiepunten in het Internet Protocol netwerk dat gegevens authenticatie, data-integriteit en vertrouwelijkheid bieden. IPsec wordt meestal gebruikt voor het opzetten van VPN ‘ s, en werkt door het versleutelen van IP-pakketten, samen met het verifiëren van de bron waar de pakketten vandaan komen.
gerelateerd-GRE VS IPSEC
we moeten een IPSec-tunnel opzetten tussen twee IPSec-peers voordat we IP-pakketten beschermen. We gebruiken een protocol genaamd Ike (Internet Key Exchange) om een IPSec-tunnel tot stand te brengen.
IKE bestaat uit 2 fasen om een IPSec-tunnel te bouwen. Zij zijn:
- Ike-Fase 1
- Ike-Fase 2
Ike Fase 1
het belangrijkste doel van Ike fase 1 is om een veilige tunnel te maken zodat we deze kunnen gebruiken voor Ike fase 2.
de volgende stappen worden uitgevoerd in de Ike-fase 1
- onderhandeling
- DH-sleuteluitwisseling
- authenticatie
Ike fase 2
de Ike fase 2 wordt gebruikt om de gebruikersgegevens te beschermen. Snelle modus is gebouwd in Ike fase 2 tunnel. In Ike fase 2 tunnel onderhandelingen zal worden gedaan over de volgende dingen.
- IPsec-protocol
- Encapsulatiemodus
- encryptie
- authenticatie
- levensduur
- DH-uitwisseling (optioneel))
IKE construeert de tunnels, maar het verifieert of versleutelt geen gebruikersgegevens. Hiervoor gebruiken we twee andere protocollen:
- AH (Authentication Header)
- ESP (Encapsulating Security Payload)
beide protocollen AH en ESP ondersteunt authenticatie en integriteit, maar ESP ondersteunt encryptie ook. Vanwege deze reden is ESP tegenwoordig het meest gebruikte protocol.
de bovenstaande twee protocollen ondersteunen twee modi. Ze zijn
- tunnelmodus
- transportmodus
een van de belangrijkste verschillen tussen de twee modes is dat de oorspronkelijke IP-header wordt gebruikt in de transportmodus en de nieuwe IP-header wordt gebruikt in de tunnelmodus.
het hele proces van IPsec wordt gedaan in vijf stappen. Ze zijn als volgt
- initiatie
- Ike Fase 1
- Ike Fase 2
- gegevensoverdracht
- beëindiging
gerelateerd – GRE vs L2TP
GRE over IPsec:
zoals we weten is GRE een inkapselingsprotocol en het kan niet versleutel de gegevens, dus we nemen de hulp van IPsec voor het krijgen van de encryptie taak gedaan.
GRE over IPsec kan in twee modi worden geconfigureerd.
- GRE IPSec-tunnelmodus
- GRE IPSec-transportmodus
GRE IPSec-tunnelmodus:
In GRE IPSec-tunnelmodus wordt het gehele GRE-pakket ingekapseld, versleuteld en beveiligd in het IPSec-pakket. Een aanzienlijke overhead wordt toegevoegd aan het pakket in de GRE IPsec tunnel modus waardoor bruikbare vrije ruimte voor onze payload wordt verminderd en kan leiden tot meer fragmentatie bij het verzenden van gegevens over een GRE IPsec Tunnel.
de bovenstaande pakketstructuur toont GRE over IPsec in tunnelmodus.
GRE IPSec-vervoerswijze:
In GRE IPSec-transportmodus wordt het GRE-pakket ingekapseld en versleuteld in het IPSec-pakket, maar de GRE IP-Header wordt aan de voorzijde geplaatst en wordt niet op dezelfde manier versleuteld als in tunnelmodus. Transportmodus is geen standaardconfiguratie en moet worden geconfigureerd met het volgende commando onder de IPSec transform set:
GRE IPsec transport mode is niet mogelijk als de cryptotunnel een apparaat passeert met behulp van Network Address Translation (NAT) of Port Address Translation (PAT). In dat geval wordt de tunnelmodus gebruikt. GRE IPSec transport mode kan niet worden gebruikt als de GRE tunnel endpoints en Cryptotunnel endpoints verschillend zijn.
de bovenstaande pakketstructuur toont GRE over IPsec in transportmodus.
IPsec Over GRE
in IPsec over GRE worden de pakketten die zijn ingekapseld met IPSec door GRE ingekapseld. In IPsec over GRE IPSec encryptie wordt gedaan op tunnel interfaces. De eindgebruikerssystemen detecteren datastromen die op tunnelinterfaces moeten worden gecodeerd. Een ACL is ingesteld om gegevensstromen tussen twee netwerksegmenten van gebruikers te matchen. Pakketten die overeenkomen met de ACL worden ingekapseld in IPSec pakketten en vervolgens in GRE pakketten voordat ze worden verzonden over de tunnel. Pakketten die niet overeenkomen met de ACL worden direct verzonden over de GRE tunnel zonder IPSec inkapseling. IPsec over GRE verwijdert de extra overhead van het versleutelen van de GRE-header.
GRE over IPSec vs IPsec over GRE
| GRE OVER IPSec | IPSec over GRE |
|---|---|
| extra overhead wordt toegevoegd aan pakketten door het versleutelen van de GRE-Header | verwijdert de extra overhead van het versleutelen van de GRE-header. |
| IP-multicast-en niet-IP-protocollen worden ondersteund | IP-multicast-en niet-IP-protocollen worden niet ondersteund |
| Ondersteunt dynamische IGP routing protocollen over de VPN tunnel | geen ondersteuning Biedt voor dynamische IGP routing protocollen over de VPN tunnel |
| Alle primaire en back-up point-to-point GRE over IPSec tunnels zijn vooraf vastgesteld, zodat in het geval falen scenario een nieuwe tunnel moet niet worden vastgesteld. | er worden geen back-uptunnels van punt naar punt aangelegd om het storingsscenario te overwinnen. |
Download hier de verschiltabel.
Leave a Reply