Hvad er forskellene mellem en IPSec VPN og en GRE-tunnel?
af Tim Charlton
IP-sikkerhed (IPSec) Virtual Private Networks (VPN) og Generic Routing Encapsulation (GRE)-tunneler er begge metoder til overførsel af data på tværs af offentlige, mellemliggende netværk, f.eks. internettet. Der er dog betydelige forskelle mellem de to teknologier. Lad os starte med en kort oversigt.
En VPN gør det muligt for en virksomhed at dele data og tjenester sikkert mellem forskellige lokaliteter til minimale omkostninger. Brugere, der ikke har en fast arbejdsstation i en organisation, kan oprette forbindelse til en VPN for at få fjernadgang til virksomhedens data fra en hjemmecomputer, en bærbar computer eller en anden mobil enhed. Ved at implementere en VPN-løsning kan en virksomhed drage fordel af alle følgende:
- Omkostningsbesparelser – Der er ikke behov for at leje linjer fra en telekommunikationsudbyder for at opbygge et WAN (Wide Area Network), hvis du implementerer en VPN over en eksisterende internetforbindelse. Derfor er omkostningerne ved at implementere en VPN mindre end ved at implementere et traditionelt WAN med lejede linjer. En VPN-løsning kræver dog internetadgang for hvert enkelt sted eller hver enkelt mobilbruger, der skal oprette forbindelse til VPN.
- Krypteret trafik – VPN’er kan bruge en række krypteringsmetoder inden for IPSec-protokolrammen til at sikre trafikken mellem en organisation og dens fjernlokationer eller brugere. Alternativt krypterer nogle VPN-installationer data ved hjælp af Secure Sockets Layer (SSL), som er den krypteringsstandard, der anvendes af mange onlineforhandlere, bankwebsteder og andre internetbaserede virksomheder.
- Nem netværksudvidelse – VPN-adgang kræver typisk kun en internetforbindelse, et VPN-gatewayapparat og i nogle installationer et softwareprogram. Derfor er det typisk billigere og kræver mindre konfiguration at udvide et VPN til at omfatte nye steder og fjernbrugere end at tilslutte et nyt sted til et WAN med fastnetforbindelse.
Lige IPSec-VPN’er bruges GRE-tunneler til at oprette punkt-til-punkt-forbindelser mellem to netværk. Nogle af fordelene og egenskaberne ved GRE-tunneler omfatter følgende:
- Dataindkapsling – GRE-tunneler indkapsler pakker, der anvender protokoller, der er inkompatible med et mellemliggende netværk (passagerprotokoller), i protokoller, der er kompatible (transportprotokoller). Dette gør det muligt at sende data på tværs af netværk, som ellers ikke ville kunne passere. Du kan f.eks. implementere en GRE-tunnel for at forbinde to AppleTalk-netværk gennem et netværk, der kun bruger IP, eller for at dirigere IPv4-pakker gennem et netværk, der kun bruger IPv6.
- Enkelhed – GRE-tunneler mangler som standard mekanismer i forbindelse med flowkontrol og sikkerhed. Denne mangel på funktioner kan lette konfigurationsprocessen. Du ønsker dog sandsynligvis ikke at overføre data i ukrypteret form på tværs af et offentligt netværk; derfor kan GRE-tunneler suppleres med IPSec-pakken af protokoller til sikkerhedsformål. Desuden kan GRE-tunneler videresende data fra usammenhængende netværk gennem en enkelt tunnel, hvilket VPN’er ikke kan gøre.
- Videresendelse af multicast-trafik – GRE-tunneler kan bruges til at videresende multicast-trafik, hvilket en VPN ikke kan gøre. På grund af dette kan multicast-trafik, f.eks. reklamer sendt af routingprotokoller, nemt overføres mellem fjernlokaliteter, når man bruger en GRE-tunnel.
Sammenfattende kan både VPN’er og GRE-tunneler bruges til at overføre data mellem fjernlokaliteter. Deres ligheder slutter dog her. Hvis du ønsker at tilvejebringe en sikker metode til at forbinde fjernbrugere til ressourcer, der er gemt på et centralt sted, bør du sandsynligvis implementere en VPN. Hvis du derimod har brug for at sende trafik over et ellers inkompatibelt netværk, bør du implementere en GRE-tunnel.
Leave a Reply