Wat zijn de verschillen tussen een IPSec VPN en een GRE-tunnel?

Door Tim Charlton
IP-beveiliging (IPSec) Virtual Private Networks (VPN’s) en Generic Routing Encapsulation (GRE)-tunnels zijn beide methoden voor het overbrengen van gegevens via openbare, intermediaire netwerken, zoals het internet. Er zijn echter aanzienlijke verschillen tussen de twee technologieën. Laten we beginnen met een kort overzicht.

Een VPN stelt een bedrijf in staat veilig gegevens en diensten uit te wisselen tussen verschillende locaties tegen minimale kosten. Gebruikers die geen vaste werkplek in een organisatie hebben, kunnen verbinding maken met een VPN om op afstand toegang te krijgen tot bedrijfsgegevens vanaf een thuiscomputer, laptop of ander mobiel apparaat. Door een VPN-oplossing te implementeren, kan een bedrijf profiteren van het volgende:

• Kostenbesparingen – Het is niet nodig om lijnen van een telecommunicatieserviceprovider te huren om een wide area network (WAN) aan te leggen als u een VPN implementeert via een bestaande internetverbinding. Daarom zijn de kosten voor de implementatie van een VPN lager dan die voor de implementatie van een traditioneel WAN met gehuurde lijnen. Een VPN-oplossing vereist echter wel Internettoegang voor elke afzonderlijke locatie of mobiele gebruiker die verbinding moet maken met het VPN.
• Gecodeerd verkeer – VPN’s kunnen een verscheidenheid aan encryptiemethoden binnen het IPSec-protocolkader gebruiken om het verkeer tussen een organisatie en haar externe locaties of gebruikers te beveiligen. Als alternatief versleutelen sommige VPN-installaties gegevens door gebruik te maken van Secure Sockets Layer (SSL), wat de versleutelingsstandaard is die wordt gebruikt door veel online detailhandelaren, bankwebsites en andere op internet gebaseerde bedrijven.
• Eenvoudige netwerkuitbreiding – VPN-toegang vereist doorgaans alleen een internetverbinding, een VPN-gateway-apparaat, en in sommige installaties, een softwaretoepassing. Daarom is de uitbreiding van een VPN met nieuwe locaties en externe gebruikers meestal minder duur en vereist minder configuratie dan het aansluiten van een nieuwe site op een huurlijn WAN.

Zoals IPSec VPN’s worden GRE-tunnels gebruikt om point-to-point-verbindingen tussen twee netwerken te maken. Enkele voordelen en kenmerken van GRE-tunnels zijn:

• Data-encapsulatie – GRE-tunnels kapselen pakketten in die protocollen gebruiken die incompatibel zijn met een tussenliggend netwerk (passageprotocollen) binnen protocollen die compatibel zijn (transportprotocollen). Hierdoor kunnen gegevens over netwerken worden verzonden die anders niet doorkruist zouden kunnen worden. U zou bijvoorbeeld een GRE-tunnel kunnen implementeren om twee AppleTalk-netwerken te verbinden via een netwerk met alleen IP of om IPv4-pakketten te routeren over een netwerk dat alleen IPv6 gebruikt.
• Eenvoud – GRE-tunnels missen standaard mechanismen met betrekking tot flow-control en beveiliging. Dit gebrek aan functies kan het configuratieproces vergemakkelijken. U wilt echter waarschijnlijk geen gegevens in onversleutelde vorm over een openbaar netwerk verzenden; daarom kunnen GRE-tunnels voor beveiligingsdoeleinden worden aangevuld met de IPSec-protocolsuite. Bovendien kunnen GRE-tunnels gegevens van ongelijksoortige netwerken door een enkele tunnel doorsturen, iets wat VPN’s niet kunnen.
• Multicast-verkeer doorsturen – GRE-tunnels kunnen worden gebruikt om multicast-verkeer door te sturen, terwijl een VPN dat niet kan. Hierdoor kan multicast-verkeer, zoals advertenties die door routeringsprotocollen worden verzonden, gemakkelijk tussen afgelegen locaties worden overgedragen wanneer een GRE-tunnel wordt gebruikt.

Samenvattend kunnen zowel VPN’s als GRE-tunnels worden gebruikt om gegevens tussen afgelegen locaties over te brengen. Daar houden hun overeenkomsten echter op. Als u op zoek bent naar een veilige methode om gebruikers op afstand te verbinden met bronnen die op een centrale locatie zijn opgeslagen, kunt u waarschijnlijk het beste een VPN implementeren. Indien echter verkeer moet worden doorgegeven over een anders incompatibel netwerk, dient een GRE tunnel te worden geïmplementeerd.