GRE over IPSec ◀️▶️ IPSec over GRE
本文探討 GRE over IPSec 及 IPSec over GRE 兩種技術的差異,兩者雖然相似,但結構和設定方法截然不同。
➡️ GRE over IPSec
第一個方法是 GRE over IPSec,即 IPSec 在最外層(或稱最底層)。意思是先在 R1 與 R2 之間建立 IPSec Tunnel,把裡面的 GRE Tunnel 整個進行加密,Routing Protocol 在 GRE Tunnel 裡面完成 Route 交換,最後 Data 在 GRE Tunnel 裡面傳送。從下圖所見,因整個 GRE Tunnel 被加密,所以裡面的 Routing Protocol 及 Data 都會被加密。
➡️ IPSec over GRE
另一個方法是 IPSec over GRE,即 GRE 在最外層(或稱最底層)。在 R1 與 R2 之間先建立 GRE Tunnel,在 GRE Tunnel 裡面再建 IPSec Tunnel,有趣的是:由於 IPSec 並不支緩 Multicast,因此通常把 Routing Protocol 建在 GRE Tunnel 進行 Route 交換,並無加密,只有 Data 在 IPSec Tunnel 裡面被加密。如堅持把 Routing Protocol 也放在 IPSec Tunnel 中,可以透過設定 Unicast IP Address 建立 Neighbor,但這樣做 Router 就無法自動建立 Neighbor 關係,如果 Router 數量多起來,設定方面肯定比較痛苦。如想了解關於 Unicast 設定,可參考本網關於 OSPF 或 EIGRP 的文章。
詳情請參考以下文章:
https://www.jannet.hk/zh-Hant/post/gre-over-ipsec-vs-ipsec-over-gre/
