Savita嫂子Psychz -
投票:2发布日期:2019-09-26 12:38:00
当IP包需要从一个网络发送到另一个网络时,使用通用路由封装(GRE),而不会被中间的任何路由器解析或当作IP包对待。但是,它们不安全,不提供加密。通过GRE,我们可以在两个端点之间配置一条虚拟隧道。通用路由封装(GRE)主要设计用于在不支持组播的云上发送组播。在没有GRE的情况下,要在由internet分隔的两个网段之间发送路由信息是不容易的。因此,通过GRE,两个分支可以通过分支网关之间的GRE隧道合并成一个路由域。通过封装,您可以将任何多播包转换为以GRE端点作为头的单播。
现在,对于私有云,可以使用普通的GRE,因为它是安全的。但是,使用IPsec,您可以添加加密以安全地通过公共云发送它。IPsec (IP Security) Encapsulating Security Payload ESP (IP Security Encapsulating Security Payload)是对IP报文进行封装,以加密的方式保护负载。当两个系统之间需要交换IP报文,同时在传输过程中需要防止被窃听或修改时,使用IPsec ESP。
下面是IPsec工作原理的一个示例。在一个常规的VPN中,网络“a”中的源主机传输一个IP包。当数据包到达网络A的边缘时,它会到达一个VPN网关。VPN网关A加密私网IP包,并通过ESP隧道将其转发到网络b边缘的对端VPN网关。然后VPN网关“B”解密数据包并将其发送到目标主机。与GRE一样,两个VPN网关之间的通信方式并不重要,它们之间的跳数只是通过ESP报文进行传输。但与GRE不同的是,在这些跳点的人不可能查看或更改封装的IP包,即使他们想这样做。这是因为已经应用了加密算法来打乱IP包,并检测任何修改或重放。
因此,总而言之,在不需要隐私的IP隧道的情况下使用GRE——它更简单,因此更快。但是,在需要IP隧道和数据私密性的地方使用IPsec ESP——它提供的安全特性甚至GRE都没有尝试过。