GRE sobre IPsec vs IPsec através de GRE: Comparação Detalhada
GRE sobre IPsec vs IPsec através de GRE
o Que é GRE?
Generic Routing Encapsulation (GRE) é um protocolo de tunelamento desenvolvido pela Cisco. É um protocolo de encapsulamento de pacotes IP simples. O encapsulamento de roteamento genérico é usado quando os pacotes IP precisam ser transportados de uma rede para outra rede, sem serem notificados como pacotes IP por nenhum roteador intermediário.
o GRE permite que dois usuários finais compartilhem dados que não seriam capazes de compartilhar pela rede pública. Ele suporta qualquer protocolo OSI Layer 3. Utiliza o protocolo 47. Os túneis GRE suportam encapsulamento para pacotes unicast e multicast. O GRE pode transportar tráfego IPv6 e multicast entre redes. No entanto, os túneis GRE não são considerados um protocolo seguro porque não possuem criptografia de cargas úteis.
o que é IPsec?
IPSEC significa Internet Protocol Security. É um conjunto de protocolos da Internet Engineering Task Force (IETF) entre dois pontos de comunicação em toda a rede de protocolos da Internet que fornecem autenticação de dados, integridade de dados e confidencialidade. O IPsec é usado principalmente para configurar VPNs e funciona criptografando pacotes IP, além de autenticar a origem de onde os pacotes vêm.
Related – GRE VS IPSEC
temos que estabelecer um túnel IPsec entre dois Pares IPsec antes de proteger quaisquer pacotes IP. Usamos protocolo chamado Ike (Internet Key Exchange) para estabelecer um túnel IPsec.
Ike consiste em 2 fases para construir um túnel IPsec. Eles são:
- Fase Ike 1
- Fase Ike 2
Ike Fase 1
o principal objetivo da Ike Fase 1 é criar um túnel seguro para que ele possa ser usado para a Ike Fase 2.
As etapas a seguir são feitas no IKE fase 1
- Negociação
- troca de Chaves DH
- Autenticação
IKE fase 2
O IKE fase 2 é usado para proteger os dados do usuário. O modo rápido é construído no túnel da Fase 2 do IKE. Na fase Ike 2, a negociação do túnel será feita nas seguintes coisas.
- protocolo IPsec
- modo de Encapsulação
- Encriptação
- Autenticação
- tempo de Vida
- Troca DH (Opcional)
IKE construir os túneis, mas não autenticar ou criptografar os dados do usuário. Para isso, usamos dois outros protocolos:
- AH (cabeçalho de autenticação)
- ESP (encapsulando carga útil de segurança)
ambos os protocolos AH e ESP suporta autenticação e integridade, mas ESP suporta criptografia também. Por esse motivo, o ESP é o protocolo mais comumente usado hoje em dia.
os dois protocolos acima suportam dois modos. Eles são
- Modo de Túnel
- Modo de Transporte
Uma das principais diferença entre os dois modos é que o cabeçalho IP original é usado no modo de Transporte e novo cabeçalho IP é usado no modo de Túnel.
todo o processo do IPsec é feito em cinco etapas. Eles são como segue
- Iniciação
- IKE Fase 1
- IKE Fase 2
- Transferência de Dados
- Terminação
Relativo – GRE vs L2TP
GRE sobre IPsec:
Como sabemos que o GRE é um protocolo de encapsulamento e ele não pode criptografar os dados, então, nós tomamos a ajuda de IPsec para obter a criptografia de trabalho.
GRE sobre IPsec pode ser configurado em dois modos.
- modo de túnel GRE IPsec
- modo de transporte GRE IPsec
modo de túnel GRE IPsec:
no modo de túnel GRE IPsec, todo o pacote GRE é encapsulado, criptografado e protegido dentro do pacote IPsec. Uma sobrecarga significativa é adicionada ao pacote no modo de túnel GRE IPsec por causa do qual o espaço livre utilizável para nossa carga útil é diminuído e pode levar a mais fragmentação ao transmitir dados por um túnel GRE IPsec.
a estrutura de pacotes acima mostra GRE sobre IPsec no modo de túnel.
modo de transporte GRE IPsec:
no modo de transporte GRE IPsec, o pacote GRE é encapsulado e criptografado dentro do pacote IPsec, mas o cabeçalho IP GRE é colocado na frente e não é criptografado da mesma maneira que no modo túnel. Modo de transporte não é uma configuração predefinida e deve ser configurada usando o seguinte comando sob o IPsec transform conjunto:
GRE modo de transporte IPsec não é possível utilizar-se o túnel de criptografia passa um dispositivo usando a Tradução de Endereços de Rede (NAT) ou Port Address Translation (PAT). Nesse caso, o modo túnel é usado. O modo de transporte GRE IPsec não pode ser usado se os terminais do túnel GRE e os terminais do túnel Crypto forem diferentes.
a estrutura de pacotes acima mostra GRE sobre IPsec no modo de transporte.
IPsec sobre GRE
em IPsec sobre GRE os pacotes que foram encapsulados usando IPSec são encapsulados por GRE. No IPsec, a criptografia GRE IPsec é feita em interfaces de túnel. Os sistemas de usuários finais detectam fluxos de dados que precisam ser criptografados em interfaces de túnel. Um ACL é definido para corresponder aos fluxos de dados entre dois segmentos de rede do Usuário. Os pacotes que são combinados com o ACL são encapsulados em pacotes IPSec e, em seguida, em pacotes GRE antes de serem enviados pelo túnel. Os pacotes que não estão combinando com o ACL são enviados diretamente sobre o túnel GRE sem encapsulamento IPsec. IPsec sobre GRE remove a sobrecarga adicional de criptografar o cabeçalho GRE.
GRE sobre IPsec vs IPsec através de GRE
| GRE SOBRE IPSec | IPSec ATRAVÉS de GRE |
|---|---|
| sobrecarga Adicional é adicionada para pacotes de criptografando o Cabeçalho GRE | Remove a sobrecarga adicional de criptografar o cabeçalho GRE. |
| IP de difusão seletiva e não-IP os protocolos são suportados | IP de difusão seletiva e não-IP protocolos não são suportados |
| Suporte dinâmico IGP protocolos de roteamento sobre o túnel VPN | não suporta a dinâmica IGP protocolos de roteamento sobre o túnel VPN |
| Todos primário e de backup ponto-a-ponto GRE mais de túneis IPSec são pré-estabelecidos, de modo que no caso do cenário de falha de um túnel não precisa ser estabelecida. | nenhum ponto de backup para apontar túneis são estabelecidos para superar o cenário de falha do evento. |
baixe a tabela de diferenças aqui.
Leave a Reply