Articles /

GRE over IPsec vs IPsec over GRE: comparație detaliată

GRE over IPsec vs IPsec over GRE

ce este GRE?

generic Routing Encapsulation (GRE) este un protocol de tunelare dezvoltat de Cisco. Este un protocol simplu de încapsulare a pachetelor IP. Încapsularea generică de rutare este utilizată atunci când pachetele IP trebuie transportate dintr-o rețea în altă rețea, fără a fi notificate ca pachete IP de către niciun router intermediar.

reclame


GRE permite doi utilizatori finali să partajeze date pe care nu le-ar putea partaja în rețeaua publică. Aceasta susține orice protocol OSI Layer 3. Acesta utilizează protocolul 47. GRE tuneluri suport încapsulare pentru ambele pachete unicast și multicast. GRE poate transporta IPv6 și trafic multicast între rețele. Cu toate acestea, tunelurile GRE nu sunt considerate un protocol sigur, deoarece îi lipsește criptarea sarcinilor utile.

ce este IPsec?

IPSEC reprezintă securitatea protocolului Internet. Este o suită de protocoale Internet Engineering Task Force (IETF) între două puncte de comunicare din rețeaua Internet Protocol care asigură autentificarea datelor, integritatea datelor și confidențialitatea. IPsec este folosit mai ales pentru a configura VPN-uri și funcționează prin criptarea pachetelor IP, împreună cu autentificarea sursei de unde provin pachetele.

înrudit – GRE VS IPSEC

trebuie să stabilim un tunel IPsec între doi colegi IPsec înainte de a proteja orice pachete IP. Folosim protocolul numit Ike (Internet Key Exchange) pentru a stabili un tunel IPsec.

IKE este format din 2 faze pentru a construi un tunel IPsec. Acestea sunt:

  • Faza IKE 1
  • Faza IKE 2

Ike Faza 1

scopul major al Ike faza 1 este de a crea un tunel sigur, astfel încât să putem fi utilizate pentru Ike faza 2.

următorii pași se fac în faza IKE 1

  • negociere
  • schimb de chei DH
  • autentificare

Ike faza 2

Ike faza 2 este utilizat pentru a proteja datele utilizatorului. Modul rapid este construit în Ike faza 2 tunel. În faza Ike 2 negociere tunel se va face pe următoarele lucruri.

  • Protocolul IPsec
  • modul de încapsulare
  • criptare
  • autentificare
  • durata de viață
  • schimb DH (opțional)

IKE construiește tunelurile, dar nu autentifică sau criptează datele utilizatorilor. Pentru aceasta folosim alte două protocoale:

  • AH(antet de autentificare)
  • ESP (încapsularea sarcinii utile de securitate)

ambele protocoale AH și ESP acceptă autentificarea și integritatea, dar ESP acceptă și criptarea. Din acest motiv, ESP este cel mai frecvent utilizat protocol în zilele noastre.

cele două protocoale de mai sus acceptă două moduri. Acestea sunt

  • modul tunel
  • modul Transport

una dintre principalele diferențe dintre cele două moduri este că antetul IP original este utilizat în modul Transport și antetul IP nou este utilizat în modul tunel.

întregul proces al IPsec se face în cinci pași. Acestea sunt următoarele

  • inițiere
  • Ike Faza 1
  • Ike Faza 2
  • Transfer de date
  • terminare

înrudite – GRE vs L2TP

GRE peste IPsec:

după cum știm că GRE este un protocol de încapsulare și nu poate cripta datele, așa că luăm ajutorul IPSec pentru a face treaba de criptare.

GRE peste IPsec poate fi configurat în două moduri.

  • modul tunel GRE IPsec
  • modul de Transport GRE IPsec

modul tunel GRE IPsec:

în modul tunel GRE IPsec întregul pachet GRE este încapsulat, criptat și protejat în interiorul pachetului IPsec. O regie semnificativă este adăugată pachetului în modul tunel GRE IPsec, din cauza căruia spațiul liber utilizabil pentru sarcina noastră utilă este scăzut și poate duce la o fragmentare mai mare atunci când se transmit date printr-un tunel GRE IPsec.

structura de pachete de mai sus arată GRE peste IPsec în modul tunel.

GRE IPsec Mod de Transport:

în modul de transport GRE IPsec, pachetul GRE este încapsulat și criptat în interiorul pachetului IPsec, dar antetul GRE IP este plasat în față și nu este criptat la fel ca în modul tunel. Modul de Transport nu este o configurație implicită și trebuie configurat folosind următoarea comandă sub setul de transformare IPsec:

R1 ( cfg-crypto-trans) # mod transport

GRE IPsec modul de transport nu este posibil să se utilizeze în cazul în care tunelul cripto trece un dispozitiv folosind Network Address Translation (NAT) sau port Address Translation (PAT). În acest caz, se utilizează modul tunel. Modul de transport GRE IPsec nu poate fi utilizat dacă punctele finale ale tunelului GRE și punctele finale ale tunelului Crypto sunt diferite.

structura de pachete de mai sus arată GRE peste IPsec în modul de transport.

IPsec Over GRE

în IPsec over GRE pachetele care au fost încapsulate folosind IPSec sunt încapsulate de GRE. În IPsec peste GRE criptarea IPsec se face pe interfețe tunel. Sistemele utilizatorului final detectează fluxurile de date care trebuie criptate pe interfețele tunelului. Un ACL este setat pentru a se potrivi fluxurile de date între două segmente de rețea utilizator. Pachetele care sunt potrivite cu ACL sunt încapsulate în pachete IPSec și apoi în pachete GRE înainte de a fi trimise peste tunel. Pachetele care nu se potrivesc cu ACL sunt trimise direct peste tunelul GRE fără încapsularea IPsec. IPsec peste GRE elimină aeriene suplimentare de criptare antetul GRE.

GRE peste IPsec vs IPsec peste GRE

GRE peste IPSec IPSec peste GRE
aeriene suplimentare se adaugă la pachete prin criptarea antetul GRE elimină aeriene suplimentare de criptare antetul GRE.
protocoalele IP multicast și non-IP sunt acceptate protocoalele IP multicast și non-IP nu sunt acceptate
suportă protocoale dinamice de rutare IGP prin tunelul VPN nu acceptă protocoale dinamice de rutare IGP prin tunelul VPN
toate primare și de rezervă punct-la-punct GRE peste tuneluri IPSec sunt pre-stabilite, astfel încât, în scenariul de eșec caz nu trebuie să fie stabilit un nou tunel. nu sunt stabilite tuneluri punct la punct de rezervă pentru a depăși scenariul de eșec al evenimentului.

descărcați tabelul de diferențe aici.

reclame


Leave a Reply