GRE隧道与IPSec加密结合
来源:小编 时间:2022-04-13 09:07:26阅读:0
IPSec加密网络的拓扑可以是星形结构(hub?and?spoke)也可以是网状结构(full mesh)。在实际应用中,数据流量主要分布在分支与中心之间,分支与分支之间的流量分布较少,因此星形结构(hub?and?spoke)它通常是最常用的,而且更经济。因为星形结构(hub?and?spoke)比网状结构(full mesh)使用较少的点到点链路可以降低线路成本。
从星形拓扑到分支机构(spoke ?to?spoke)连接不需要额外的通信成本。但在星形结构中,从分支到分支的通信必须跨越中心,这将消耗中心的资源并引入延迟。
尤其在用IPSec加密时,中心需要在发送数据分支的隧道上解密,并在接收数据的分支隧道上重新加密。另一种情况是,通信的两个分支在同一个城市,而中心在另一个城市,导致不必要的延迟。
当星形IPSec网络(hub?and?spoke)随着规模的不断扩大,传统方案的配置变得越来越繁琐,不便于维护和排错IP数据包的动态路由将非常有意义IPSec隧道与动态路由协议之间存在一个基本问题,动态路由协议依赖多播或广播包进行路由更新IPSec隧道不支持多播或广播包的加密。
这里介绍了动态多点方案 (DM方案)概念。这里将引入两个协议:GRE 和 NHRP GRE:通用路由封装。由IETF在RFC 2784定义。它是一种协议,可以在任何网络层协议上包装任何其他网络层协议。GRE一次包装有效载荷GRE包里,然后再把它包起来GRE转发包装基于实际应用的传输协议。(我认为:GRE类似木马的壳。^_^)
IPSec不支持广播和组播传输,但是GRE能很好地支持运载广播和组播包到对端GRE隧道数据包是单播的。这意味着GRE隧道数据包是可被的IPSec加密,也就是GRE Over IPSec。
通过GRE隧道与IPSec结合加密,利用动态路由协议更新加密隧道两端路由器上的路由表。从隧道对端学到的子网将包含隧道对端IP地址是到达终端网络的下一个跳跃地址。这样,隧道任何一端的网络都会发生变化,另一端会动态地学习这种变化,并在不改变路由器配置的情况下保持网络连接。
IPSec使用访问控制列表(ACL)匹配感兴趣的数据流。当有数据包匹配时ACL时,IPSec建立加密隧道。使用时GRE Over IPSec时,GRE已包括隧道的配置GRE隧道对端的地址也是如此IPSec隧道对端地址。因此,没有必要单独做IPSec定义匹配ACL。
通过将GRE隧道与IPSec绑定,GRE隧道一旦建成,就会立即触发IPSec加密。在用IPSec对GRE包装加密时,可以加密IPSec因为GRE原始数据已包装成单播IP没必要让包IPSec再包装一个包头。
GRE的特点使得IPSec加密也可以是时尚的运行动态协议。到目前为止,IPSec加密不支持动态路由的历史变化,DM方案中的“多点” 下面我们来看看“动态”如何引入特征?GRE隧道,IPSec加密完成了方案网络的加密部分。想建立GRE隧道的一端必须知道另一端IP而且必须能够在地址互联网路由。这就要求中心和所有分支路由器都有静态公共IP地址。
可是向ISP申请静态IP无论如何,地址的成本都非常昂贵。通常,为了节约地址资源,提高有效利用率ADSL或直接电缆接入,ISP会通过DHCP提供动态服务IP(注:IPv4由瓶颈引起的地址不足。IPv6没有这个问题,声称地球上的每一粒沙子都可以分开IP,大口气说)
显然,GRE IPSec隧道两端需要清楚知道IP分支路由器网络接口的地址IP本地地址ISP动态分配,每次拨入网络的IP地址不同。GRE隧道无法建立,方案仍无法工作。NHRP在捕捉每个人的胃口时,根据市场需求,在人们期待的目光中闪耀,给他们一些掌声。噼啪作响。
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:shawn.lee@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
本站原创内容未经允许不得转载,或转载时需注明出处:https://news.kd010.com/yzx/8807.html