GRE over IPsec 与IPsec over GRE的区别

IPSEC Over GRE与GRE Over IPSEC的区别和好处~

昨天发了个关于GRE故障解决过程的帖子，网友jhaterry的分析问题和解决问题的能力很棒，总结的也很好，为了更好的让午饭们理解IPSEC Over GRE与GRE Over IPSEC的区别与好处，特有下文与大家分享，通过此文希望能让大家更好的理解IPSEC与GRE，更好的根据实际情况将该技术应用到实际环境和项目中下面进入正题：

到底是IPSEC Over GRE好呢，还是GRE Over IPSEC好？以前一直是出于一个模糊的状态，能通就行了么。今天再次作了一下研究比较，得出的结论是，当然是GRE Over IPSEC好！

在此，先把这两个概念理一下。IPSEC Over GRE即IPSEC在里，GRE在外。先把需要加密的数据包封装成IPSEC包，然后再扔到GRE隧道里。作法是把IPSEC的加密图作用在Tunnel口上的，即在Tunnel口上监控（访问控制列表监控本地ip网段-源i和远端ip网段-目的地），是否有需要加密的数据流，有则先加密封装为IPSEC包，然后封装成GRE包进入隧道（这里显而易见的是，GRE隧道始终无论如何都是存在的，即GRE隧道的建立过程并没有被加密），同时，未在访问控制列表里的数据流将以不加密的状态直接走GRE隧道，即存在有些数据可能被不安全地传递的状况。而GRE Over IPSEC是指，先把数据分装成GRE包，然后再分装成IPSEC包。做法是在物理接口上监控，是否有需要加密的GRE流量（访问控制列表针对GRE两端的设备ip），所有的这两个端点的GRE数据流将被加密分装为IPSEC包再进行传递，这样保证的是所有的数据包都会被加密，包括隧道的建立和路由的建立和传递。 IPSEC Over GRE：

a. 访问控制列表，针对两个网段的数据流，如： ip access-list extended vpn12

permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255 b. 加密图放在Tunnel口 GRE Over IPSEC：

a. 访问列表，针对两个路由器之间的GRE流，如： ip access-list extended vpn12

permit gre host 172.16.11.2 host 172.16.22.2 b. 加密图作用在物理口。

1、两者的封包过程

IPPSEC Over GRE即IPSEC在里，GRE在外。先把需要加密的数据包封装成IPSEC包，然后再扔到GRE隧道里。做法是把IPSEC的加密图作用在Tunnel 口上的，即在Tunnel口上监控（访问控制列表监控本地ip网段-源i和远端ip网段-目的地），是否有需要加密的数据流，有则先加密封装为IPSEC 包，然后封装成GRE包进入隧道（这里显而易见的是，GRE隧道始终都是存在的，即GRE隧道的建立过程并没有被加密），同时，未在访问控制列表里的数据流将以不加密的状态直接走GRE隧道，即存在有些数据可能被不安全地传递的状况。而GRE Over IPSEC是指，先把数据分装成GRE包，然后再分装成IPSEC包。做法是在物理接口上监控，是否有需要加密的GRE流量（访问控制列表针对GRE两端的设备ip），所有的这两个端点的GRE数据流将被加密封装为IPSEC包再进行传递，这样保证的是所有的数据包都会被加密，包括隧道的建立和路由的建立和传递。

2、加密映射图的应用 IPSEC Over GRE：

a. 访问控制列表，针对两个网段的数据流，如： ip access-list extended vpn12

permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255 b. 加密图放在Tunnel口 GRE Over IPSEC：

a. 访问列表，针对两个路由器之间的GRE流，如：

ip access-list extended vpn12

permit gre host 172.16.11.2 host 172.16.22.2 b. 加密图作用在物理口。

无论是哪种数据流，若一方进行了加密，而另一方没有配，则无法通讯，对于GRE,则路由邻居都无法建立。 3、隧道模式和传输模式

所谓的隧道模式还是传输模式，是针对如ESP如何封装数据包的，前提是ESP在最外面，如果都被Over到了 GRE里，自然谈不上什么隧道模式和传输模式（都为隧道模式）。只有当GRE Over IPSEC的时候，才可以将模式改为传输模式。

IPSEC不支持组播，即不能传递路由协议，而GRE支持

无论是哪种数据流，若一方进行了加密，而另一方没有配，则无法通讯，对于GRE则，路由邻居都无法建立。

另一个概念是隧道模式和传输模式。所谓的隧道模式还是传输模式，是针对如ESP如何封装数据包的，前提是ESP在最外面，如果都被Over到了GRE里，自然谈不上什么隧道模式和传输模式（都为隧道模式）。只有当GRE Over IPSEC的时候，才可以将模式改为传输模式。

IPSEC不支持组播，即不能传递路由协议，而GRE支持。

GRE OVER IPSEC : IP< IPSEC

外层ip就是公网的路由IP，GRE over IPSec，是将整个已经封装过的GRE数据包进行加密

由于IPSec不支持对多播和广播数据包的加密，这样的话，使用IPSec的隧道中，动态路由协议等依靠多播和广播的协议就不能进行正常通告，所以，这时候要配合GRE隧道，GRE隧道会将多播和广播数据包封装到单播包中，再经过IPSec加密。

此外由于GRE建立的是简单的，不进行加密的VPN隧道，他通过在物理链路中使用ip地址和路由穿越普通网络。所以很常见的方法就是使用IPSec对GRE进行加密，提供数据安全保证

关于GRE over IPsec及IPsec over GRE

2008-07-30 22:27:35 标签：VPN

GRE over IPsec & IPsec over GRE

IPSec -Over-GRE是先ipsec后gre，这种我没用过。

GRE -Over-IPSec 是先gre后ipsec，也就是说ipsec是最后的承载方式。一般常用的就是这种，解决了ipsec不支持多播的问题。

另外在mtu上也有一些相关，gre是先分段后封装，而ipsec则是先封装再分段。 个人理解。

IPsec over GRE 和GRE over IPsec在配置上的区别：

GRE over IPsec IPsec over GRE ACL定义： GRE数据流 内网数据流 IKE Peer中指定的remote-address 对方公网地

址 对方GRE Tunnel地址 应用端口： 公网出口 GRE Tunnel上

GRE over IPSEC(传输模式) IPSEC封装GRE

好处：可以利用GRE封装组播或广播了以及非IP流量，因为如果不使用GRE的话，IPSEC是传不了组播或广播IP流量的

IPSEC over GRE(里外)(tunel模式)

IPSEC over GRE:GRE在IPSEC外面,由GRE来封装IPSEC注意!!!IPSEC over GRE的时候,路由协议流量是明文的

注意!!!当指的peer是对等体物理接口地址的时候不是IPSEC over GRE,只有当peer是对等体的lookback是才是真正的IPSEC over GRE

源文档 <[url]http://www.netyourlife.net/forum/viewthread.php?tid=6766&highlight=ipsec+gre[/url]>

Cisco Tunnel Over IPSec例子

R1 (s1/0)----------------------------------------------S1/0(R2) 200.1.1.1 200.1.1.2

由于IPSEC隧道不能承载路由协议.所以对VPN的扩展性造成了很大的影响.

GRE能够封装路由协议,但是单纯的password不能解决在公网上面安全性的问题.所以如果把GRE和IPSEC完美的结合起来,不仅可以解决VPN 扩展性的问题,同时也能解决安全性的目的.一下的例子是完全按照小弟的一个案子模拟出来的.有什么不妥的地方希望大家指正批评. R1配置:

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库GRE over IPsec 与IPsec over GRE的区别在线全文阅读。