问题描述
GRE 技术简单,但是使用 GRE 隧道传递的数据以明文方式传递的,数据容易被窃取;
解决方案
在现网中,一般与 IPsec 技术结合使用。GRE 技术构建分支-总部之间的内部网络互联,IPSec 技术加密 GRE 隧道报文;
原理简述
/VPN_(Virtual_Private_Network)/1993_GRE_(Generic_Routing_Encapsulation)/4_Scenarios_to_Solutions/GRE_Over_IPSec/pasted_image.png)
当网关之间采用 GRE over IPsec 连接时,先进行 GRE 封装,再进行 IPsec 封装;
/VPN_(Virtual_Private_Network)/1993_GRE_(Generic_Routing_Encapsulation)/4_Scenarios_to_Solutions/GRE_Over_IPSec/pasted_image005.png)
封装模式
GRE over IPsec 使用的封装模式为可以是隧道模式也可以是传输模式。因为隧道模式跟传输模式相比增加了 IPsec 头,导致报文长度更长,更容易导致分片,所以 GRE over IPsec 推荐采用传输模式;
报文封装
/VPN_(Virtual_Private_Network)/1993_GRE_(Generic_Routing_Encapsulation)/4_Scenarios_to_Solutions/GRE_Over_IPSec/pasted_image006.png)
IPsec 封装过程中增加的 IP 头即源地址为 IPsec 网关应用 IPsec 安全策略的接口地址,目的地址即 IPsec 对等体中应用 IPsec 安全策略的接口地址;
IPsec 需要保护的数据流为从 GRE 起点到 GRE 终点的数据流。GRE 封装过程中增加的 IP 头即源地址为 GRE 隧道的源端地址,目的地址为 GRE 隧道的目的端地址;
特性特征
GRE over IPsec 可利用 GRE 和 IPsec 的优势,通过 GRE 将组播、广播和非 IP 报文封装成普通的 IP 报文,通过 IPsec 为封装后的 IP 报文提供安全地通信;