Jakie są różnice między IPSec VPN a tunelem GRE?

By Tim Charlton
IP Security (IPSec) Wirtualne sieci prywatne (VPN) i tunele GRE (Generic Routing Encapsulation) to metody przesyłania danych przez publiczne sieci pośredniczące, takie jak Internet. Istnieją jednak znaczące różnice między tymi dwoma technologiami. Zacznijmy od krótkiego przeglądu.

A VPN umożliwia firmie bezpieczne udostępnianie danych i usług między rozproszonymi lokalizacjami przy minimalnych kosztach. Użytkownicy, którzy nie mają stałej stacji roboczej w organizacji, mogą połączyć się z siecią VPN, aby uzyskać zdalny dostęp do danych firmy z komputera domowego, laptopa lub innego urządzenia mobilnego. Wdrażając rozwiązanie VPN, firma może skorzystać ze wszystkich poniższych zalet:

• Oszczędność kosztów – Nie ma potrzeby dzierżawienia linii od dostawcy usług telekomunikacyjnych w celu zbudowania sieci rozległej (WAN), jeśli wdrożysz VPN za pośrednictwem istniejącego połączenia internetowego. Dlatego koszt wdrożenia VPN jest niższy niż koszt wdrożenia tradycyjnej sieci WAN opartej na łączu dzierżawionym. Jednak rozwiązanie VPN wymaga dostępu do Internetu dla każdej indywidualnej witryny lub użytkownika mobilnego, który ma się połączyć z VPN.
• Ruch szyfrowany – sieci VPN mogą korzystać z różnych metod szyfrowania w ramach protokołu IPSec w celu zabezpieczenia ruchu między organizacją a jej zdalnymi lokalizacjami lub użytkownikami. Alternatywnie, niektóre instalacje VPN szyfrują dane za pomocą Secure Sockets Layer (SSL), który jest standardem szyfrowania używanym przez wielu sprzedawców internetowych, witryny bankowe i inne firmy internetowe.
• Łatwa rozbudowa sieci – Dostęp do sieci VPN wymaga zazwyczaj tylko połączenia z Internetem, urządzenia bramy VPN, a w niektórych instalacjach – aplikacji programowej. Dlatego rozszerzenie sieci VPN o nowe lokalizacje i zdalnych użytkowników jest zwykle mniej kosztowne i wymaga mniej konfiguracji niż podłączenie nowej witryny do dzierżawionej linii WAN.

Podobnie jak IPSec VPN, tunele GRE są używane do tworzenia połączeń punkt-punkt między dwiema sieciami. Niektóre z korzyści i cech tuneli GRE obejmują następujące elementy:

• Enkapsulacja danych – tunele GRE enkapsulują pakiety, które używają protokołów niezgodnych z siecią pośredniczącą (protokoły pasażerskie) w ramach protokołów zgodnych (protokoły transportowe). Pozwala to na przesyłanie danych przez sieci, które w przeciwnym razie nie mogłyby być przemierzone. Na przykład można zaimplementować tunel GRE, aby połączyć dwie sieci AppleTalk przez sieć wykorzystującą tylko protokół IP lub kierować pakiety IPv4 przez sieć, która wykorzystuje tylko protokół IPv6.
• Prostota – tunele GRE nie posiadają domyślnie mechanizmów związanych z kontrolą przepływu i bezpieczeństwem. Ten brak funkcji może ułatwić proces konfiguracji. Jednak prawdopodobnie nie chcesz przesyłać danych w niezaszyfrowanej formie przez sieć publiczną; dlatego tunele GRE mogą być uzupełnione o zestaw protokołów IPSec w celu zapewnienia bezpieczeństwa. Ponadto tunele GRE mogą przekazywać dane z różnych sieci przez pojedynczy tunel, czego nie mogą robić sieci VPN.
• Przekazywanie ruchu multicast – Tunele GRE mogą być używane do przekazywania ruchu multicast, natomiast sieci VPN nie. Z tego powodu ruch multicast, taki jak reklamy wysyłane przez protokoły routingu, może być łatwo przekazywany między odległymi lokalizacjami przy użyciu tunelu GRE.

Podsumowując, zarówno VPN, jak i tunele GRE mogą być używane do przesyłania danych między odległymi lokalizacjami. Jednak na tym kończą się ich podobieństwa. Jeśli chcesz zapewnić bezpieczną metodę łączenia zdalnych użytkowników z zasobami przechowywanymi w centralnej lokalizacji, prawdopodobnie powinieneś wdrożyć VPN. Jednak w przypadku konieczności przekazywania ruchu przez niekompatybilną sieć, należy wdrożyć tunel GRE.