GRE över IPsec vs IPsec över GRE: detaljerad jämförelse
GRE över IPsec vs IPsec över GRE
Vad är GRE?
Generic Routing Encapsulation (GRE) är ett Cisco utvecklat tunnelprotokoll. Det är ett enkelt IP-paketinkapslingsprotokoll. Generisk Routing inkapsling används när IP-paket måste transporteras från ett nätverk till ett annat nätverk, utan att meddelas som IP-paket av några mellanliggande routrar.
GRE låter två slutanvändare dela data som de inte skulle kunna dela över det offentliga nätverket. Den stöder alla OSI Layer 3-protokoll. Det använder protokoll 47. Gre-tunnlar stöder inkapsling för både unicast-och multicast-paket. GRE kan bära IPv6 och multicast trafik mellan nätverk. Gre-tunnlar anses dock inte vara ett säkert protokoll eftersom det saknar kryptering av nyttolast.
Vad är IPsec?
IPSEC står för Internet Protocol Security. Det är en Internet Engineering Task Force (IETF) uppsättning protokoll mellan två kommunikationspunkter över Internet Protocol-nätverket som ger dataautentisering, dataintegritet och konfidentialitet. IPsec används mest för att ställa in VPN, och fungerar genom att kryptera IP-paket, tillsammans med autentisera källan där paketen kommer från.
Related-GRE VS IPSEC
vi måste upprätta en IPsec-tunnel mellan två IPsec-kamrater innan vi skyddar några IP-paket. Vi använder protokoll som heter Ike (Internet Key Exchange) för att upprätta en IPsec-tunnel.
IKE består av 2 faser för att bygga en IPsec-tunnel. De är:
- Ike fas 1
- Ike fas 2
Ike fas 1
huvudsyftet med Ike fas 1 är att skapa en säker tunnel så att vi den kan användas för Ike fas 2.
följande steg görs i IKE-fasen 1
- förhandling
- Dh nyckelutbyte
- autentisering
ike fas 2
ike fas 2 används för att skydda användardata. Snabbläget är byggt i ike fas 2 tunnel. I IKE fas 2 tunnel förhandlingar kommer att ske på följande saker.
- IPsec-protokoll
- Inkapslingsläge
- kryptering
- autentisering
- livstid
- Dh-utbyte (valfritt)
ike konstruerar tunnlarna men det autentiserar eller krypterar inte användardata. För detta använder vi två andra protokoll:
- AH (Autentiseringshuvud)
- ESP (inkapsla säkerhet nyttolast)
både protokoll AH och ESP stöder autentisering och integritet men ESP stöder kryptering också. På grund av denna anledning är ESP det vanligaste protokollet idag.
ovanstående två protokoll stöder två lägen. De är
- tunnelläge
- transportläge
en av huvudskillnaden mellan de två lägena är att original IP-rubrik används i transportläge och ny IP-rubrik används i tunnelläge.
hela processen med IPsec görs i fem steg. De är som följer
- initiering
- Ike fas 1
- Ike fas 2
- dataöverföring
- uppsägning
relaterad – gre vs L2TP
GRE över IPsec:
som vi vet att gre är ett inkapslingsprotokoll och det inte kan kryptera data, så tar vi hjälp av IPsec för att få krypteringsjobbet gjort.
GRE över IPsec kan konfigureras i två lägen.
- gre IPsec Tunnel läge
- gre IPsec transport läge
gre IPsec Tunnel läge:
i Gre IPsec Tunnel-läge är hela gre-paketet inkapslat, krypterat och skyddat inuti IPsec-paketet. En betydande overhead läggs till paketet i gre IPsec tunnel läge på grund av vilket användbart ledigt utrymme för vår nyttolast minskas och kan leda till mer fragmentering vid överföring av data över en gre IPsec Tunnel.
ovanstående paketstruktur visar GRE över IPsec i tunnelläge.
gre IPsec transportsätt:
i gre IPsec-transportläge är GRE-paketet inkapslat och krypterat inuti IPsec-paketet, men gre IP-huvudet placeras framtill och det krypteras inte på samma sätt som i tunnelläge. Transportläge är inte en standardkonfiguration och det måste konfigureras med följande kommando under IPsec transform set:
gre IPsec transport mode är inte möjligt att använda om krypttunneln passerar en enhet med Network Address Translation (NAT) eller Port Address Translation (PAT). I så fall används tunnelläge. Gre IPsec transportläge kan inte användas om GRE tunnel endpoints och Crypto tunnel endpoints är olika.
ovanstående paketstruktur visar GRE över IPsec i transportläge.
IPsec över GRE
i IPsec över GRE är paketen som har inkapslats med IPSec inkapslade av GRE. I IPsec över GRE IPsec-kryptering görs på tunnelgränssnitt. Slutanvändarsystemen upptäcker dataflöden som måste krypteras på tunnelgränssnitt. En ACL är inställd för att matcha dataflöden mellan två användarnätverkssegment. Paket som matchas med ACL inkapslas i IPSec-paket och sedan i GRE-paket innan de skickas över tunneln. Paket som inte matchar ACL skickas direkt över gre-tunneln utan IPsec-inkapsling. IPsec över GRE tar bort den extra kostnaden för att kryptera gre-rubriken.
GRE över IPsec vs IPsec över GRE
| GRE över IPSec | IPSec över GRE |
|---|---|
| ytterligare overhead läggs till paket genom att kryptera gre Header | tar bort den extra overhead att kryptera gre header. |
| IP multicast och icke-IP-protokoll stöds | IP multicast och icke-IP-protokoll stöds inte |
| stöder dynamiska IGP-routingprotokoll över VPN-tunneln | stöder inte dynamiska IGP-routingprotokoll över VPN-tunneln |
| alla primära och backup punkt-till-punkt gre över IPSec tunnlar är förinställda, så att i händelse misslyckande scenario en ny tunnel behöver inte etableras. | ingen backup punkt till punkt tunnlar är etablerade för att övervinna händelsefel scenario. |
ladda ner skillnadstabellen här.
Leave a Reply