Jaké jsou rozdíly mezi sítí VPN IPSec a tunelem GRE?

Od Tim Charlton
vpn vs gre tunelZabezpečení IP (IPSec) Virtuální privátní sítě (VPN) a tunely GRE (Generic Routing Encapsulation) jsou obě metody přenosu dat přes veřejné, zprostředkující sítě, jako je Internet. Mezi oběma technologiemi však existují značné rozdíly. Začněme stručným přehledem.

Síť VPN umožňuje společnosti bezpečně sdílet data a služby mezi různými místy s minimálními náklady. Uživatelé, kteří nemají v organizaci stálou pracovní stanici, se mohou připojit k síti VPN a vzdáleně přistupovat k firemním datům z domácího počítače, notebooku nebo jiného mobilního zařízení. Zavedením řešení VPN může společnost těžit ze všech následujících výhod:

  • Úspora nákladů – Při zavedení VPN přes stávající připojení k internetu není nutné pronajímat si linky od poskytovatele telekomunikačních služeb za účelem vybudování rozsáhlé sítě (WAN). Náklady na implementaci sítě VPN jsou proto nižší než náklady na implementaci tradiční sítě WAN s pronajatou linkou. Řešení VPN však vyžaduje přístup k internetu pro každou jednotlivou lokalitu nebo mobilního uživatele, který se má k síti VPN připojit.
  • Šifrovaný provoz – sítě VPN mohou používat různé metody šifrování v rámci protokolu IPSec k zabezpečení provozu mezi organizací a jejími vzdálenými lokalitami nebo uživateli. Některé instalace VPN případně šifrují data pomocí protokolu SSL (Secure Sockets Layer), což je šifrovací standard používaný mnoha internetovými prodejci, webovými stránkami bank a dalšími internetovými podniky.
  • Snadné rozšíření sítě – Přístup k síti VPN obvykle vyžaduje pouze připojení k internetu, zařízení brány VPN a v některých instalacích softwarovou aplikaci. Proto je rozšíření sítě VPN o nové lokality a vzdálené uživatele obvykle levnější a vyžaduje méně konfigurace než připojení nové lokality k pronajaté síti WAN.

Tunely GRE se stejně jako sítě IPSec VPN používají k vytvoření spojení mezi dvěma sítěmi typu bod-bod. Mezi výhody a vlastnosti tunelů GRE patří následující:

  • Zapouzdření dat – tunely GRE zapouzdřují pakety, které používají protokoly nekompatibilní s prostřednickou sítí (osobní protokoly), do protokolů, které jsou kompatibilní (transportní protokoly). To umožňuje posílat data přes sítě, které by jinak nebylo možné překonat. Tunel GRE můžete například implementovat pro propojení dvou sítí AppleTalk prostřednictvím sítě, která používá pouze protokol IP, nebo pro směrování paketů IPv4 přes síť, která používá pouze protokol IPv6.
  • Jednoduchost – Tunely GRE ve výchozím nastavení postrádají mechanismy týkající se řízení toku a zabezpečení. Tento nedostatek funkcí může usnadnit proces konfigurace. Pravděpodobně však nechcete přenášet data v nešifrované podobě přes veřejnou síť, proto lze tunely GRE pro účely zabezpečení doplnit sadou protokolů IPSec. Kromě toho mohou tunely GRE předávat data z nesouvisejících sítí prostřednictvím jediného tunelu, což sítě VPN nedokážou.
  • Předávání vícesměrového provozu – tunely GRE lze použít k předávání vícesměrového provozu, zatímco sítě VPN nikoli. Z tohoto důvodu lze při použití tunelu GRE snadno přenášet vícesměrový provoz, například reklamy odesílané směrovacími protokoly, mezi vzdálenými lokalitami.

Shrnem lze k přenosu dat mezi vzdálenými lokalitami použít sítě VPN i tunely GRE. Tím však jejich podobnost končí. Pokud chcete zajistit bezpečný způsob připojení vzdálených uživatelů ke zdrojům uloženým v centrálním umístění, měli byste pravděpodobně implementovat síť VPN. Pokud však potřebujete přenášet provoz přes jinak nekompatibilní síť, měl by být implementován tunel GRE.

.

Leave a Reply