GRE over IPSec和IPSec over GRE的区别
IPSec是现网中常用的VPN技术,也经常和GRE隧道用来互相嵌套;很多人对其中的一些原理并不是很清楚,本文结合具体现网经验(H3C),总结出两者之间的差异,望有所收获。
首先是清晰的配置区别,如下:
VPN类型 | GRE over IPSec | IPSec over GRE |
---|---|---|
感兴趣流量(ACL定义) | GRE(或隧道源目地址) | 内网数据流 |
IKE-Peer中指定的远程地址(remote-address) | 对端公网口地址 | 对端Tunnel口地址 |
应用端口 | 公网接口(物理口) | GRE Tunnel接口 |
通俗来说,GRE over IPSec是将GRE流量作为私网流量进行加密,GRE隧道的建立以及隧道中传输的流量都会被加密;而IPSec over GRE是在GRE隧道建立的基础之上,进行私网数据的加密,与普通的IPSec相比,区别仅仅是私网流量从哪转发就从哪进行加密。纯IPSec流量从公网接口转发,将策略应用在公网接口;IPSec over GRE只是因为私网流量从隧道转发,将策略应用在了Tunnel接口下。
实际应用中,经常会出现IPsec、G