Vilka är skillnaderna mellan en IPSec VPN och en GRE-tunnel?
av Tim Charlton
IP-säkerhet (IPSec) Virtual Private Networks (VPN) och Generic Routing Encapsulation (GRE)-tunnlar är båda metoder för att överföra data över offentliga, mellanliggande nätverk, till exempel Internet. Det finns dock betydande skillnader mellan de två teknikerna. Låt oss börja med en kort översikt.
En VPN gör det möjligt för ett företag att på ett säkert sätt dela data och tjänster mellan olika platser till en minimal kostnad. Användare som inte har en permanent arbetsstation i en organisation kan ansluta till en VPN för att få fjärråtkomst till företagsdata från en hemdator, bärbar dator eller annan mobil enhet. Genom att implementera en VPN-lösning kan ett företag dra nytta av alla följande:
- Kostnadsbesparingar – Det finns inget behov av att hyra linjer från en telekomleverantör för att bygga upp ett WAN-nätverk (Wide Area Network) om du implementerar en VPN över en befintlig Internetanslutning. Därför är kostnaden för att implementera ett VPN lägre än för att implementera ett traditionellt WAN med hyrda linjer. En VPN-lösning kräver dock internetåtkomst för varje enskild plats eller mobilanvändare som ska ansluta till VPN.
- Krypterad trafik – VPN:er kan använda en mängd olika krypteringsmetoder inom IPSec-protokollramen för att säkra trafiken mellan en organisation och dess fjärrplatser eller användare. Alternativt krypterar vissa VPN-installationer data genom att använda SSL (Secure Sockets Layer), som är den krypteringsstandard som används av många online-återförsäljare, bankwebbplatser och andra internetbaserade företag.
- Enkel nätverksutvidgning – VPN-åtkomst kräver vanligtvis bara en internetanslutning, en VPN-gatewayapparat och i vissa installationer ett programvaruprogram. Att utöka en VPN för att inkludera nya platser och fjärranvändare är därför vanligtvis billigare och kräver mindre konfiguration än att ansluta en ny plats till ett WAN med hyrd linje.
Likt IPSec VPN-tunnlar används GRE-tunnlar för att skapa punkt-till-punkt-anslutningar mellan två nätverk. Några av fördelarna och egenskaperna hos GRE-tunnlar är följande:
- Datakapsling – GRE-tunnlar kapslar in paket som använder protokoll som är inkompatibla med ett mellanliggande nätverk (passagerarprotokoll) i protokoll som är kompatibla (transportprotokoll). Detta gör det möjligt att skicka data över nätverk som annars inte skulle kunna korsas. Du kan till exempel implementera en GRE-tunnel för att ansluta två AppleTalk-nätverk genom ett IP-nätverk eller för att dirigera IPv4-paket genom ett nätverk som endast använder IPv6.
- Enkelhet – GRE-tunnlar saknar mekanismer för flödeskontroll och säkerhet som standard. Denna brist på funktioner kan underlätta konfigurationsprocessen. Du vill dock förmodligen inte överföra data i okrypterad form över ett offentligt nätverk; därför kan GRE-tunnlar kompletteras med IPSec-sviten av protokoll för säkerhetsändamål. Dessutom kan GRE-tunnlar vidarebefordra data från icke sammanhängande nätverk genom en enda tunnel, vilket är något som VPN:er inte kan göra.
- Vidarebefordran av multicasttrafik – GRE-tunnlar kan användas för att vidarebefordra multicasttrafik, vilket en VPN inte kan göra. På grund av detta kan multicasttrafik, t.ex. annonser som skickas av routingprotokoll, enkelt överföras mellan avlägsna platser när man använder en GRE-tunnel.
Sammanfattningsvis kan både VPN-tjänster och GRE-tunnlar användas för att överföra data mellan avlägsna platser. Deras likheter tar dock slut där. Om du vill tillhandahålla en säker metod för att ansluta fjärranvändare till resurser som lagras på en central plats bör du förmodligen implementera en VPN. Om du däremot behöver skicka trafik över ett på annat sätt inkompatibelt nätverk bör du implementera en GRE-tunnel.
Leave a Reply