Gre over IPsec vs IPsec over GRE: szczegółowe porównanie
Gre over IPsec vs IPsec over GRE
co to jest GRE?
Generic Routing Encapsulation (GRE) to opracowany przez Cisco protokół tunelowania. Jest to prosty protokół hermetyzacji pakietów IP. Generic Routing Encapsulation jest używany, gdy pakiety IP muszą być transportowane z jednej sieci do drugiej sieci, bez powiadamiania jako pakiety IP przez żadne routery pośrednie.
GRE pozwala dwóm użytkownikom końcowym udostępniać dane, których nie mogliby udostępnić w sieci publicznej. Obsługuje dowolny protokół OSI Layer 3. Wykorzystuje protokół 47. Tunele GRE obsługują enkapsulację zarówno dla pakietów unicast, jak i multicast. GRE może przenosić ruch IPv6 i multicast między sieciami. Jednak tunele GRE nie są uważane za bezpieczny protokół, ponieważ brakuje w nim szyfrowania ładunków.
co to jest IPsec?
IPSEC oznacza Internet Protocol Security. Jest to zestaw protokołów Internet Engineering Task Force (IETF) między dwoma punktami komunikacyjnymi w sieci Internet Protocol, które zapewniają uwierzytelnianie danych, integralność danych i poufność. IPsec jest używany głównie do konfigurowania sieci VPN i działa poprzez szyfrowanie pakietów IP oraz uwierzytelnianie źródła, z którego pochodzą Pakiety.
Related – GRE VS IPSEC
musimy ustanowić tunel IPsec między dwoma rówieśnikami IPsec zanim ochronimy jakiekolwiek pakiety IP. Do utworzenia tunelu IPsec używamy protokołu o nazwie Ike (Internet Key Exchange).
IKE składa się z 2 etapów budowy tunelu IPsec. Są to:
- Ike Faza 1
- Ike Faza 2
Ike Phase 1
głównym celem Ike phase 1 jest stworzenie bezpiecznego tunelu, abyśmy mogli go wykorzystać do Ike phase 2.
w fazie IKE wykonywane są następujące kroki 1
- negocjacje
- Wymiana kluczy DH
- uwierzytelnianie
Faza 2 IKE
Faza 2 IKE służy do ochrony danych użytkownika. Tryb szybki jest zbudowany w tunelu Ike phase 2. W II etapie Ike prowadzone będą negocjacje dotyczące następujących kwestii.
- protokół IPsec
- tryb enkapsulacji
- Szyfrowanie
- uwierzytelnianie
- czas życia
- Wymiana DH (Opcjonalnie)
Ike buduje tunele, ale nie uwierzytelnia ani nie szyfruje danych użytkownika. W tym celu używamy dwóch innych protokołów:
- AH (nagłówek uwierzytelniania)
- ESP (Encapsulating Security Payload)
oba protokoły AH i ESP obsługują uwierzytelnianie i integralność, ale ESP obsługuje również szyfrowanie. Z tego powodu ESP jest obecnie najczęściej używanym protokołem.
powyższe dwa protokoły obsługują dwa tryby. Są to
- tryb tunelu
- Tryb transportu
jedną z głównych różnic między tymi dwoma trybami jest to, że oryginalny nagłówek IP jest używany w trybie transportu, a nowy nagłówek IP jest używany w trybie tunelu.
cały proces IPsec odbywa się w pięciu krokach. Są one następujące
- inicjacja
- Ike Faza 1
- Ike Faza 2
- Transfer danych
- zakończenie
powiązane – GRE vs L2TP
GRE over IPsec:
ponieważ wiemy, że GRE jest protokołem enkapsulacji i nie może zaszyfrować danych, więc korzystamy z pomocy IPsec, aby wykonać zadanie szyfrowania.
GRE over IPsec można skonfigurować w dwóch trybach.
- Gre IPsec Tunnel Mode
- Gre IPsec Transport Mode
Gre IPsec Tunnel Mode:
w trybie Gre IPsec Tunnel cały pakiet GRE jest hermetyzowany, szyfrowany i chroniony wewnątrz pakietu IPsec. W trybie GRE IPsec tunnel do pakietu dodawany jest znaczny narzut, z powodu którego zmniejszona jest wolna przestrzeń użytkowa dla naszego ładunku i może prowadzić do większej fragmentacji podczas przesyłania danych przez tunel Gre IPsec.
powyższa struktura pakietów pokazuje GRE over IPsec w trybie tunelowym.
GRE IPsec:
w trybie transportu GRE IPsec pakiet GRE jest hermetyzowany i szyfrowany wewnątrz pakietu IPsec, ale nagłówek GRE IP jest umieszczony z przodu i nie jest szyfrowany w taki sam sposób, jak w trybie tunelowym. Tryb transportu nie jest konfiguracją domyślną i musi być skonfigurowany przy użyciu następującego polecenia w ustawieniu IPsec transform:
tryb transportu GRE IPsec nie jest możliwy, jeśli tunel kryptograficzny przechodzi przez urządzenie za pomocą translacji adresów sieciowych (NAT) lub translacji adresów portów (PAT). W takim przypadku używany jest tryb tunelowy. Tryb transportu Gre IPsec nie może być używany, jeśli punkty końcowe tunelu GRE i punkty końcowe tunelu Crypto są różne.
powyższa struktura pakietów pokazuje GRE over IPsec w trybie transportu.
IPsec Over GRE
w IPsec over GRE pakiety, które zostały zamknięte za pomocą IPSec, są zamknięte przez GRE. W IPsec over GRE szyfrowanie IPsec odbywa się na interfejsach tunelowych. Systemy użytkowników końcowych wykrywają przepływy danych, które muszą być szyfrowane na interfejsach tunelowych. ACL jest ustawiony tak, aby pasował do przepływów danych między dwoma segmentami sieci użytkowników. Pakiety, które są dopasowane do ACL, są zamknięte w pakietach IPSec, a następnie w pakietach GRE, zanim zostaną wysłane przez tunel. Pakiety, które nie pasują do ACL, są bezpośrednio wysyłane przez tunel GRE bez enkapsulacji IPsec. IPsec over GRE usuwa dodatkowy narzut szyfrowania nagłówka GRE.
GRE over IPsec vs IPsec over GRE
| GRE OVER IPSec | IPSec OVER Gre |
|---|---|
| dodatkowy narzut jest dodawany do Pakietów poprzez szyfrowanie nagłówka GRE | usuwa dodatkowy narzut szyfrowania nagłówka GRE. |
| obsługiwane są protokoły IP multicast i non-IP | protokoły IP multicast i non-IP nie są obsługiwane |
| obsługuje dynamiczne protokoły routingu IGP przez tunel VPN | nie obsługuje dynamicznych protokołów routingu IGP przez tunel VPN |
| wszystkie podstawowe i zapasowe tunele gre z punktu do punktu przez IPsec są wstępnie ustalone, więc w przypadku awarii nie trzeba zakładać nowego tunelu. | w celu przezwyciężenia scenariusza awarii nie są ustanawiane tunele punktu zapasowego do punktu. |
Pobierz tabelę różnic tutaj.
Leave a Reply