Mitä eroja on IPSec VPN:n ja GRE-tunnelin välillä?
Tim Charlton
IP-turvallisuus (IPSec) Virtuaaliset yksityisverkot (Virtual Private Networks, VPN) ja GRE-tunnelit (Generic Routing Encapsulation, Generic Routing Encapsulation, GRE-tunnelit) ovat kumpikin menetelmiä, joiden avulla voidaan siirtää dataa julkisten väliverkkojen, kuten Internetin, kautta. Näiden kahden tekniikan välillä on kuitenkin huomattavia eroja. Aloitetaan lyhyellä yleiskatsauksella.
VPN:n avulla yritys voi jakaa turvallisesti tietoja ja palveluita eri toimipisteiden välillä pienin kustannuksin. Käyttäjät, joilla ei ole pysyvää työasemaa organisaatiossa, voivat muodostaa yhteyden VPN:ään ja käyttää yrityksen tietoja etänä kotitietokoneelta, kannettavalta tietokoneelta tai muulta mobiililaitteelta. Toteuttamalla VPN-ratkaisun yritys voi hyötyä kaikista seuraavista eduista:
- Kustannussäästöt – Laajakaistaverkon (WAN) rakentamiseen ei tarvitse vuokrata yhteyksiä tietoliikennepalvelujen tarjoajalta, jos VPN toteutetaan olemassa olevan Internet-yhteyden kautta. Siksi VPN:n toteuttamisen kustannukset ovat pienemmät kuin perinteisen kiinteän linjan WAN:n toteuttamisen kustannukset. VPN-ratkaisu edellyttää kuitenkin Internet-yhteyttä jokaiselle yksittäiselle toimipisteelle tai mobiilikäyttäjälle, joka muodostaa yhteyden VPN:ään.
- Salattu liikenne – VPN:t voivat käyttää erilaisia IPSec-protokollan puitteissa käytettäviä salausmenetelmiä organisaation ja sen etätoimipisteiden tai -käyttäjien välisen liikenteen suojaamiseen. Vaihtoehtoisesti jotkin VPN-asennukset salaavat tiedot käyttämällä Secure Sockets Layer (SSL) -tekniikkaa, joka on salausstandardi, jota monet verkkokauppiaat, pankkien verkkosivut ja muut Internet-pohjaiset yritykset käyttävät.
- Helppo verkon laajentaminen – VPN-yhteys vaatii tyypillisesti vain Internet-yhteyden, VPN-yhdyskäytävälaitteen ja joissakin asennuksissa ohjelmistosovelluksen. Siksi VPN:n laajentaminen uusiin toimipisteisiin ja etäkäyttäjiin on yleensä edullisempaa ja vaatii vähemmän konfigurointia kuin uuden toimipisteen liittäminen kiinteään WAN-verkkoon.
GRE-tunneleita käytetään IPSec-VPN:ien tavoin kahden verkon välisten point-to-point-yhteyksien luomiseen. GRE-tunneleiden etuja ja ominaisuuksia ovat muun muassa seuraavat:
- Tiedon kapselointi – GRE-tunnelit kapseloivat paketteja, jotka käyttävät väliverkon kanssa yhteensopimattomia protokollia (matkustajaprotokollat) yhteensopivien protokollien (siirtoprotokollat) sisään. Tämä mahdollistaa tietojen lähettämisen sellaisten verkkojen yli, joita ei muutoin voisi kulkea. Voit esimerkiksi toteuttaa GRE-tunnelin yhdistämään kaksi AppleTalk-verkkoa pelkkää IP:tä käyttävän verkon kautta tai reitittämään IPv4-paketteja sellaisen verkon kautta, joka käyttää vain IPv6:ta.
- Yksinkertaisuus – GRE-tunneleista puuttuvat oletusarvoisesti virranohjaukseen ja turvallisuuteen liittyvät mekanismit. Tämä ominaisuuksien puute voi helpottaa konfigurointia. Et kuitenkaan luultavasti halua siirtää tietoja salaamattomassa muodossa julkisen verkon yli, joten GRE-tunneleita voidaan täydentää IPSec-protokollasarjalla tietoturvatarkoituksiin. Lisäksi GRE-tunnelit voivat välittää tietoja erillisistä verkoista yhden tunnelin kautta, mihin VPN ei pysty.
- Monilähetysliikenteen välittäminen – GRE-tunneleita voidaan käyttää monilähetysliikenteen välittämiseen, kun taas VPN ei voi. Tämän vuoksi monilähetysliikennettä, kuten reititysprotokollien lähettämiä mainoksia, voidaan helposti siirtää etäsijaintien välillä GRE-tunnelia käytettäessä.
Yhteenvetona voidaan todeta, että sekä VPN:iä että GRE-tunneleita voidaan käyttää tiedonsiirtoon etäsijaintien välillä. Niiden yhtäläisyydet päättyvät kuitenkin tähän. Jos haluat tarjota turvallisen menetelmän, jolla etäkäyttäjät voidaan yhdistää keskitettyyn sijaintiin tallennettuihin resursseihin, kannattaa todennäköisesti ottaa käyttöön VPN. Jos kuitenkin haluat siirtää liikennettä muuten yhteensopimattoman verkon yli, kannattaa ottaa käyttöön GRE-tunneli.
Leave a Reply