GRE网络对比IPSec网络有什么差异?
IPSec是现网中经常使用的方案技术,也常常和GRE隧道用来相互嵌套;很多人对其中的一些原理其实不是很清楚,本文结合具体现网经验,总结出二者之间的差异。
动态是为了保证在不更改总部路由器的配置的情况下,可以随便的增加和删除分部vpn路由器,IPSEC是为了保证数据传输的私密性,对一个基本vpn通道来说,这样已完全可以满足要求了,但是为了使得总部路由器可以和分部路由器之间进行路由的传递,从而又加入了GRE,也就构成了现在的一种技术,DynamicGREOVERIPSEC方案。我们都知道GRE是一个点对点(常常说的P2P)的模式。
通俗来讲,GREoverIPSec是将GRE流量作为私网流量进行加密,GRE隧道的建立和隧道中传输的流量都会被加密;而IPSecoverGRE是在GRE隧道建立的基础之上,进行私网数据的加密,与普通的IPSec相比,区分仅仅是私网流量从哪转发就从哪进行加密。纯IPSec流量从公网接口转发,将策略利用在公网接口;IPSecoverGRE只是由于私网流量从隧道转发,将策略利用在了Tunnel接口下。
对GRE方案,若公网地址不固定,则应在Tunnel中的源和目的参数选用本地Loopback接口地址,公网买通Loopback,如果GRE路由选用OSPF等动态路由协议发布,一定不能发布Loopback接口地址,否则会引发路由表表内自环,路由动荡,接口频繁Up/Down。
对IPSec方案,若一端公网地址固定,一端公网地址不固定(如通过PPPoE拨号方式,或DHCP分配等),则需要采取蛮横模式,且公网地址不固定端需使用idtypename(默许是idtypeip)、remotename(ikelocalname默许是网关装备名称)和remoteaddess方式,IPSec流量触发为公网地址不固定一端主动触发。
