IPSEC Over GRE与GRE Over IPSEC

原理

​ 到底是IPSEC Over GRE好呢，还是GRE Over IPSEC好？以前一直是出于一个模糊的状态，能通就行了么。今天再次作了一下研究比较，得出的结论是，当然是GRE Over IPSEC好！（怪不得CCNP的教材上只提了GRE Over IPSEC）

​ 在此，先把这两个概念理一下。IPSEC Over GRE即IPSEC在里，GRE在外。先把需要加密的数据包封装成IPSEC包，然后再扔到GRE隧道里。作法是把IPSEC的加密图作用在Tunnel口上的，即在Tunnel口上监控（访问控制列表监控本地ip网段-源i和远端ip网段-目的地），是否有需要加密的数据流，有则先加密封装为IPSEC包，然后封装成GRE包进入隧道（这里显而易见的是，GRE隧道始终无论如何都是存在的，即GRE隧道的建立过程并没有被加密），同时，未在访问控制列表里的数据流将以不加密的状态直接走GRE隧道，即存在有些数据可能被不安全地传递的状况。而GRE Over IPSEC是指，先把数据分装成GRE包，然后再分装成IPSEC包。做法是在物理接口上监控，是否有需要加密的GRE流量（访问控制列表针对GRE两端的设备ip），所有的这两个端点的GRE数据流将被加密分装为IPSEC包再进行传递，这样保证的是所有的数据包都会被加密，包括隧道的建立和路由的建立和传递。

IPSEC Over GRE：

​ a. 访问控制列表，针对两个网段的数据流，如：

ip access-list extended vpn12
 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255

​ b. 加密图放在Tunnel口

GRE Over IPSEC：

​ a. 访问列表，针对两个路由器之间的GRE流，如：

ip access-list extended vpn12
 permit gre host 172.16.11.2 host 172.16.22.2

​ b. 加密图作用在物理口。

​ 无论是哪种数据流，若一方进行了加密，而另一方没有配，则无法通讯，对于GRE则，路由邻居都无法建立。

​ 另一个概念是隧道模式和传输模式。所谓的隧道模式还是传输模式，是针对如ESP如何封装数据包的，前提是ESP在最外面，如果都被Over到了GRE里，自然谈不上什么隧道模式和传输模式（都为隧道模式）。只有当GRE Over IPSEC的时候，才可以将模式改为传输模式。

IPSEC不支持组播，即不能传递路由协议，而GRE支持。

GRE封装模式

​ General Routing Encapsulation，简称GRE，是一种三层VPN封装技术。GRE可以对某些网络层协议（如IPX、Apple Talk、IP等）的报文进行封装，使封装后的报文能够在另一种网络中（如IPv4）传输，从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel（隧道）,GRE协议号为47.

GRE IP封装

​ 1．接收原始IP数据包当作乘客协议，原始IP数据包包头的IP地址为私有IP地址。

​ 2．将原始IP数据包封装进GRE协议，GRE协议称为封装协议（Encapsulation Protocol），封装的包头IP地址为虚拟直连链路两端的IP地址。

​ 3．将整个GRE数据包当作数据，在外层封装公网IP包头，也就是隧道的起源和终点，从而路由到隧道终点。

IPsec封装模式

隧道（tunnel）模式

​ 隧道模式保护所有 IP 数据并封装新的 IP 头部，不使用原始 IP 头部进行路由。在 IPSec 头部前加入新的 IP 头部，源目为 IPSec peer 地址。

传输（transport）模式

​ 传输模式保护原始 IP 头部后面的数据，在原始 IP 头和 payload 间插入 IPSec 头部（ESP 或 AH）。典型应用为端到端的会话，并且要求原始 IP 头部全局可路由

总结

​ 两者的区别在于 IP 数据报的 ESP 负载部分的内容不同。在隧道模式中，整个 IP 数据报都在 ESP 负载中进行封装和加密。当这完成以后，真正的 IP 源地址和目的地址都可以被隐藏为 Internet 发送的普通数据。

GRE Over IPSEC 封装模式

​ GRE over IPSec可利用GRE和IPSec的优势，通过GRE将组播、广播和非IP报文封装成普通的IP报文，通过IPSec为封装后的IP报文提供安全地通信，进而可以提供在总部和分支之间安全地传送广播、组播的业务，例如视频会议或动态路由协议消息等。

​ 当网关之间采用GRE over IPSec连接时，先进行GRE封装，再进行IPSec封装。GRE over IPSec使用的封装模式为可以是隧道模式也可以是传输模式。因为隧道模式跟传输模式相比增加了IPSec头，导致报文长度更长，更容易导致分片，所以推荐采用传输模式GRE over IPSec。