ipsecovege有什么用吗(geipsec区别)
导语:为什么 GRE over IPsec 常用,IPsec over GRE不常用?
一、协议的封装顺序》要了解GRE over IPsec 与IPsec over GRE的不同首先要从over说起,这关系到协议的封装顺序。
》A over B 这种形式在网络协议表示中很常见 ,over代表“在什么之上”, GRE over IPsec 代表GRE在IPsec之上,报文通常是由上至下进行协议封装,也就是说GRE over IPsec是先封装GRE在进行IPsec格式的封装,而IPsec over GRE是先封装IPsec再进行GRE格式封装。
A over B 代表先封装A协议再在外面封装一层B协议,同理IPv6 Over IPv4 代表了先封装IPv6再封装IPv4,PPP Over Ethernet(PPPoE) 代表将PPP协议封装在以太网框架中。
二、IPsec与GRE的优势互补IPSec(Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合。
》由上述可知IPsec最大的优势就是安全,包含了很多加密算法和验证算法,但是缺点是配置繁琐需要指定算法和各种协商参数,并且IPsec不支持组播协议,这导致IPsec VPN链路上无法使用一些依赖组播报文的协议,例如常用的ospf。而GRE相较于IPsec支持组播协议,配置简单,缺点是缺乏安全性。
》那么GRE over IPsec,先对这些报文进行GRE封装,使其成为普通的单播报文,然后再使用IPSec对其进一步处理;并且由于所有报文都经过了GRE封装再进行IPSec处理,因此只根据GRE隧道的源、目的地址来定义需要IPSec保护的数据流即可,不需要关注原始报文的源、目的地址这也使得配置得到了简化。
》而IPsec over GRE的组合,不但不能很好的支持组播,也没有简化配置,所以一般场景下GRE over IPsec 更加常用。
本文内容由小纳整理编辑!