GRE over IPSec和IPSec over GRE的区别

最新推荐文章于 2025-06-01 15:25:53 发布
最新推荐文章于 2025-06-01 15:25:53 发布
阅读量2.1k 收藏 11
点赞数 25
CC 4.0 BY-SA版权
文章标签: 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Lin_Jumping/article/details/137218468

image-20240401091515936

GRE over IPSec和IPSec over GRE的区别

 IPSec是现网中常用的VPN技术,也经常和GRE隧道用来互相嵌套;很多人对其中的一些原理并不是很清楚,本文结合具体现网经验(H3C),总结出两者之间的差异,望有所收获。

首先是清晰的配置区别,如下:

VPN类型 GRE over IPSec IPSec over GRE
感兴趣流量(ACL定义) GRE(或隧道源目地址) 内网数据流
IKE-Peer中指定的远程地址(remote-address) 对端公网口地址 对端Tunnel口地址
应用端口 公网接口(物理口) GRE Tunnel接口

通俗来说,GRE over IPSec是将GRE流量作为私网流量进行加密,GRE隧道的建立以及隧道中传输的流量都会被加密;而IPSec over GRE是在GRE隧道建立的基础之上,进行私网数据的加密,与普通的IPSec相比,区别仅仅是私网流量从哪转发就从哪进行加密。纯IPSec流量从公网接口转发,将策略应用在公网接口;IPSec over GRE只是因为私网流量从隧道转发,将策略应用在了Tunnel接口下。

实际应用中,经常会出现IPsec、G

最低0.47元/天 解锁文章

200万优质内容无限畅学
JJumpping
关注
企业分支与总部配置GRE over IPSec双链路综合实验(设备:USG6000、AR2240)并配置策略路由实现不同网段通过不同的供应商上网
A soul tortured by desire
12-09 2423
实验背景: 企业总部分支机构之间要可以相互访问内网,现在一般采用在总部分支的出口设备上建立隧道的方式,这种方式需要在公网上传输总部与分支之间的数据流。 IPSec仅支持单播,如果采用IPSec 只能传输单播报文,那么当两地的网络较庞大时,相互的一条一条互指静态路由,是非常麻烦,且容易出错的;若要使用路由,由于路由协议是组播报文,而GRE支持单播、组播、广播,可以完美的解决IPSec不支持组播,从而不能动态的使用动态路由来发现总部与分支之间的内网。 由于GRE隧道不提供安全性保障,传输明文在公网..
IPSec over GREGRE over IPSec区别;并且在某种条件下,前者依旧能运行OSPF
微信公众号:互联网之路
01-08 1146
采用IPSecoverGRE方式时,系统先进行IPSec封装,再进行GRE封装。IPSecoverGREIPSec加密作用在Tunnel接口上,即在Tunnel接口上监控是否有需要加密的数据流(ACL针对两个用户网段间的数据流),匹配ACL则先被加密封装为IPSec包,再封装成GRE包进入隧道,而未匹配ACL的则不进行IPSec封装直接进入GRE隧道。这样,就存在有些数据流被不安全传输。同时,GRE隧道的建立过程也不受IPSec保护。
IPSec知识点学习
热门推荐
新时代先锋的博客
03-10 1万+
5、 对于IPSEC VPN,若一端公网地址固定,一端公网地址不固定(如通过PPPOE拨号方式,或DHCP分配等),则两端IKE对 等体需配置为野蛮模式,且公网地址不固定端需使用id-type name (默认是id-type ip)、remote name(ike local name默认是网关设备名称) remote addess方式,IPSEC流量触发为有固定公网地址端单向触发;第5、6个报文使用第3、4个报文交互后产生的相关密钥进行验证及加密处理。
ENSP期末神帖:防火墙GRE/IPSec/GRE over IPSec点对点配置 保姆级实验+避坑指南(附拓扑/配置文档)
最新发布
2301_78202824的博客
06-01 2191
(没有这个策略,在防火墙出口可以接收到GRE报文,虽然防火墙有10网段路由,但是在近PC端的接口是没有icmp包的,这时候会命中default策略拒绝掉。)其中采用的方式是将tunnel划分到untrust ,此时的安全策略(控制普通报文到tunnel接口的策略)是将目的区域dmz改成了untrust。接下来又是重复的操作,这里gre over ipsec是我最开始配置的实验,当时不知道g0/0/0接口的特殊,所以配置放在文档中自行查找。//创建策略规则,越先配置的安全策略规则位置越靠前,优先级越高。
IPSec over GRE GRE over IPSec配置区别
耶锋的博客
04-28 1460
gre over ipsec
3分支GRE OVER IPSEC + OSPF
yayun616的博客
10-19 1236
3分支GRE OVER IPSEC + OSPF 注意:ospf宣告不要用0.0.0.0 255.255.255.255 宣告 AR21 [AR 21]dis cu [V200R003C00] sysname AR 21 snmp-agent local-engineid 800007DB03000000000000 snmp-agent clock timezone China-Standard-Time minus 08:00:00 portal local-server load flas
IPSec Over GREGRE Over IPSec技术
qq_56228347的博客
04-19 9237
IPSec Over GRE GRE Over IPSec 一. 技术介绍 IPsec     主要作用是对数据进行加密,因为他能提供所有有时候被单独用作实现加密的一种方法!IPsec建立的是一个逻辑隧道,并不是真正意义上的隧道!并且不能提供路由功能,因为IPsec不支持非ip流量,也不支持广播(组播)! GRE     (通用路由封装)能很好的提供一个真正意义上的点对点的隧道,GRE是一种三层VPN封装技术。GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装,使封装后
GRE over IPSec vs IPSec over GRE
潇峰的博客
05-30 2179
GRE over IPSecIPSec 在最外层(或称最底层)。意思是先在 R1 与 R2 之间建立 IPSec Tunnel,把里面的 GRE Tunnel 整个进行加密,Routing Protocol 在 GRE Tunnel 里面完成 Route 交换,最后 Data 在 GRE Tunnel 里面传送。从下图所见,因整个 GRE Tunnel 被加密,所以里面的 Routing Protocol 及 Data 都会被加密。 GRE over IPSec隧道示例 配置思路 采用如下思路配置虚
GRE Over IPSec配置及抓包分析.doc
05-20
GRE Over IPSec配置及抓包分析.doc
思科路由器山石网科防火墙做GRE Over IPSec对接.doc
12-21
对于同一厂家的设备之间,比如思科路由器思科防火墙、神码路由器神码防火墙、华为路由器华为防火墙做对接一般都比较容易,甚至同一厂家的同种设备之间做对接那就更轻松了。但是实际环境中我们总会遇到两个不同...
防火墙GRE over IPSec配置
weixin_45564816的博客
06-26 3207
在传统的IP通信中,数据包容易被截取或篡改,而IPSec通过加密认证两种主要方式,有效地提高了数据传输的安全性。PSec(Internet Protocol Security)是为IP网络提供安全性的协议服务的集合,主要用于增强VPN(Virtual Private Network,虚拟专用网)的安全性。GRE隧道是一种网络通信协议,使用通用路由封装(GRE)技术,能够将一种网络协议下的数据报文封装在另一种网络协议中,从而实现在另一个网络层协议中的传输。
IPsec over GRE GRE over IPsec比较区别
weixin_33894640的博客
07-13 1623
GRE over IPsec & IPsec over GRE IPSec -Over-GRE是先ipsecgre,这种我没用过。 GRE -Over-IPSec 是先greipsec,也就是说ipsec是最后的承载方式。一般常用的就是这种,解决了ipsec不支持多播的问题。 另外在mtu上也有一些相关,gre是先分段后封装,而ipsec则是先封装再分段。...
IPSEC OVER GREGRE OVER IPSEC的配置区别IPSEC的注意事项
weixin_34175509的博客
05-16 821
1、 GRE over IPSECipsec中acl匹配的是tunnle流,源目的是隧道的源目的 IPSEC over GRE:acl匹配的就是业务流 2、 GRE over IPSEC:ike对等体中remote-address地址是对方公网口的物理地址 IPSEC over GRE:ike对等体中remote-address地址是对方tunnel接口地址 3...
IPsec over GRE GRE over IPsec比较区别与配置
Galdys的专栏
11-23 5488
GRE over IPsec & IPsec over GRE IPSec -Over-GRE是先ipsecgre,这种我没用过。 GRE -Over-IPSec 是先greipsec,也就是说ipsec是最后的承载方式。一般常用的就是这种,解决了ipsec不支持多播的问题。 另外在mtu上也有一些相关,gre是先分段后封装,而ipsec则是先封装再分段。 个人理解。   IPse
GRE over IPSEC
ikaros_fire的博客
10-17 3782
前提:路由可达,相互可通信。 GRE提供通道,IPSEC保护通道数据。 GRE over IPSECIPSEC over GRE 哪个好?肯定是前者。 在R2与R4之间建立tunnel,ipsec为tunnel数据加密,即GRE over IPSEC 起接口IP规则依旧是老样子:R1-R2,那么就是12.1.1.1-12.1.1.2,其余类似。 R2配置如下: R2#sh run Buildi...
为什么 GRE over IPsec 常用,IPsec over GRE不常用?
qq_34408400的博客
05-25 1243
一、协议的封装顺序 》要了解GRE over IPsecIPsec over GRE的不同首先要从over说起,这关系到协议的封装顺序。 》A over B 的形式在网络协议表示中很常见 ,over代表“在什么之上”, GRE over IPsec 代表GREIPsec之上,报文通常是由上至下进行协议封装,也就是说GRE over IPsec是先封装GRE在进行IPsec格式的封装,而IPsec over GRE是先封装IPsec再进行GRE格式封装。 A over B 代表先封装A协议再在外
IPSec over GRE GRE over IPSec学习总结
weixin_42421936的博客
11-19 5873
GRE可以与IPSec配合使用,通过建立GRE over IPSec隧道,对路由协议、语音、视频等数据先进性GRE封装,再对封装后的报文进行IPsec处理。 二者配合使用的有点: 提高数据在隧道中的传输安全性; 解决IPSec只能处理单播报文的问题,GRE可以支持组播、广播非IP报文,先对这些报文进行GRE封装,使其成为普通的单播报文,然后再使用IPSec对其进一步处理; 简化IPSec的配置。由于所有报文都先经过GRE封装再进行IPSec处理,因此只要根据GRE隧道的源、目的地址来定义需要IPS
GREIPsec搭配使用,到底是谁over谁?先看GRE over IPsec
衡水铁头哥的博客
07-20 9754
关于相同的二层子网跨广域网进行互通,目前我们测试了VXLAN、IPsecGRE三种方式,分别是(VXLAN小实验:VXLAN头端复制配置)、(为什么IPsec两端内网的网段能不能重复?分明可以实现!)GRE隧道也能实现两端配置相同子网了,快来看看!)。VXLAN特性比较新,所以部分场景下需要考虑使用IPsec或者GRE,但是GRE配置简单却不安全,IPsec使用又会有一些小的限制,所以一般会将IPsecGRE组合使用。 常见的两种类型包括IPsec over GREGRE over IPsec
华为防火墙 GRE over IPSec [适用点到点、点到多点]
白话聊网络的博客
03-20 4318
但是在over的场景中,以上两种方式并不适用,因为配置方式不同,所以在over的场景中像实现点到多点的部署,就需要将点到点的方式拼凑而成,举个例子,在不over的场景中,1个总部对应10个分部,那总部可以采用策略模板方式,节省配置量,如果在1v10的场景中加上over,那总部则需要写10组配置,分别1-1,1-2,1-3。仔细的同学会发现,基于路由的方式,ips中没有感兴趣流,是的,它的流量走向完全以靠静态路由的出接口,至于限制谁谁不通,可以靠防火墙的安全策略来限制。那如可直到加密报文是否进隧道呢?
gre over ipsec ipsec over gre 区别
04-04
GRE over IPSec是将GRE协议封装在IPSec内部传输。在这种情况下,GRE协议首部被加入到IPSec的ESP或AH首部之后。它使用IPSec提供的数据加密完整性保护来保护GRE数据包。 IPSec over GRE是将IPSec协议封装在GRE内部传输。在这种情况下,IPSec的ESP或AH首部被加入到GRE协议首部之后。它使用GRE提供的隧道封装来传输IPSec数据包。 因此,GRE over IPSec是将GRE协议加密保护,而IPSec over GRE是将IPSec加密保护。它们的选择取决于特定的网络配置需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值