介绍GRE隧道与IPSec加密相结合问题

介绍GRE隧道与IPSec加密相结合问题,熟练掌握下面涉及到的IPSec加密知识,你就会更轻松的选择自己喜欢的方式来做好IPSec加密的工作。很多方法都会使你豁然开朗的。,IPSec加密网络的拓扑可以是星形结构(hub−and−spoke)也可以是网状结构(full mesh)。实际应用中,数据流量主要分布在分支与中心之间,分支与分支之间的流量分布较少,所以星形结构(hub−and−spoke)通常是最常用的,并且它更经济。因为星形结构(hub−and−spoke)比网状结构(full mesh)使用更少的点到点链路,可以减少线路费用。,在星形拓扑中,分支机构到分支机构(spoke −to−spoke)的连通不需要额外的通讯费用。但在星形结构中,分支到分支的通信必须跨越中心,这会耗费中心的资源并引入延时。,尤其在用IPSec加密时,中心需要在发送数据分支的隧道上解密,而在接收数据的分支隧道上重新加密。还有一种情况是:通讯的两个分支在同一个城市,而中心在另一个城市,这便引入了不必要的延时。,当星形IPSec网络(hub−and−spoke)规模不断扩展时,传统VPN的配置则愈加繁琐,且不便于维护和排错。因此IP数据包的动态路由将非常有意义。但IPSec隧道和动态路由协议之间存在一个基础问题,动态路由协议依赖于多播或广播包进行路由更新,而IPSec隧道不支持多播或广播包的加密。,这里便引入了动态多点VPN (DMVPN)的概念。这里将引入两个协议:GRE 和 NHRP GRE:通用路由封装。由IETF在RFC 2784中定义。它是一个可在任意一种网络层协议上封装任意一个其它网络层协议的协议。GRE将有效载荷封装在一个GRE包中,然后再将此GRE包封装基于实际应用的传输协议上进行转发。(我觉得:GRE类似木马的壳。^_^),IPSec不支持广播和组播传输,可是GRE能很好的支持运载广播和组播包到对端,并且GRE隧道的数据包是单播的。这就意味着GRE隧道的数据包是可被IPSec加密的,也即GRE Over IPSec。,通过GRE隧道与IPSec加密相结合,利用动态路由协议在加密隧道两端的路由器上更新路由表。从隧道对端学到的子网在路由表条目里将会包含隧道对端的IP地址作为到达对端子网的下一跳地址。这样,隧道任何一端的网络发生变化,另外一端都会动态地学习到这个变化,并保持网络的连通性而无需改变路由器的配置。

原创文章,如若转载,请注明出处:http://www.shwuzhen.com/gou/278.html

联系我们

13810578059

在线咨询:点击这里给我发消息

邮件:88628738@qq.com

合作方式:网站转让、SEO优化、网站跳转