Was ist der Unterschied zwischen GRE- und IPsec-Tunneln?

Generic Routing Encapsulation (GRE)

GRE, definiert durch RFC 2784 (Request for Comments) und aktualisiert durch RFC 2890, erzeugt einen unverschlüsselten Tunnel, der ein beliebiges Protokoll über ein anderes beliebiges Netzwerkschichtprotokoll kapselt.

Es kann jedes Layer-3-Protokoll kapseln, das einen gültigen Ethertype verwendet. Dadurch ist es in der Lage, eine Vielzahl von Protokollen, einschließlich IP-Multicast-Paketen, zu transportieren. GRE wird am besten über einen vertrauenswürdigen Netzwerkpfad verwendet, da die Pakete nicht verschlüsselt sind, aber es kann mit einem IPsec-Tunnel kombiniert werden, wenn eine Verschlüsselung erforderlich ist.

GRE-Header werden dem Paket, das weitergeleitet wird, hinzugefügt. Die äußeren und inneren Header sind häufig IP-Header, können aber auch andere Layer-3-Protokolle sein.

Ein GRE-Header kann zwischen vier Byte und 16 Byte lang sein, je nachdem, welche Optionen aktiviert sind, wobei die Voreinstellung vier Byte beträgt. Bei Verwendung über IP beträgt der zusätzliche Overhead mindestens 24 Bytes: 20 Bytes des äußeren IP-Headers und 4 Bytes des GRE-Headers.

IP in IP, ein ähnliches Protokoll, tunnelt nur IP-Pakete über IP-Netzwerke und fügt 20 Byte kapselnden IP-Header hinzu.

IPsec

IPsec, zusammengefasst in RFC 6071, beschreibt eine Reihe von Protokollen, die einen verschlüsselten Tunnel über ein IP-Netzwerk erstellen. Seine Verschlüsselungs- und Authentifizierungsmechanismen verhindern Lauschangriffe und Datenveränderungen, was den Begriff Virtual Private Network (VPN) erklärt.

IPsec-Tunnel werden häufig verwendet, um einen sicheren Datenpfad zwischen den Zweigstellen oder mobilen Benutzern einer Organisation und dem Heimbüro oder dem Rechenzentrum bereitzustellen. VPN-Tunnelterminierungen können Netzwerk-Gateways in Zweigstellen oder Heimgeräten sein.

Die Größe des IPsec-Verkapselungs-Headers hängt vom Modus ab; sie beträgt typischerweise 50 bis 57 Bytes, abhängig von der Auffüllung, die erforderlich ist, um Pakete zu erzeugen, die ein Vielfaches von 8 Bytes sind.

Gemeinsame Merkmale von GRE und IPsec

Die Protokolle GRE und IPsec weisen einige ähnliche Eigenschaften auf, darunter die folgenden:

• Einzelner virtueller Hop: Ein GRE-Tunnel und ein IPsec-Tunnel erscheinen jeweils als ein einziger virtueller Hop, auch wenn sie viele Verbindungen zwischen den Tunnel-Endpunkten durchlaufen.
• Erhöhte Paketgröße: Die zusätzlichen Header für beide Protokolle erhöhen die Paketgröße, was zu einer Paketfragmentierung führen kann, die die Netzwerkleistung verschlechtert. Moderne Betriebssysteme verwenden TCP Path Maximum Transmission Unit Discovery (PMTUD), um automatisch das größte Paket zu ermitteln. PMTUD funktioniert jedoch nicht für das User Datagram Protocol (UDP). Die Alternative besteht darin, die Maximum Transmission Unit (MTU) im Netzwerk manuell so zu konfigurieren, dass die IP-Fragmentierung außerhalb des Tunnels erfolgt.
• Erhöhter Overhead, wenn kombiniert: IT-Teams können Nicht-IP- oder Multicast-Pakete sicher tunneln, indem sie einen GRE-Tunnel über einen IPsec-Tunnel konfigurieren. Der Overhead erhöht sich, wenn beide Protokolle in Kombination verwendet werden.

Wann ist GRE oder IPsec zu verwenden?

IT-Teams sollten IPsec einsetzen, wenn sie ein sicheres IP-Tunneling benötigen. Sie sollten GRE verwenden, wenn sie ein Tunneln ohne Privatsphäre benötigen und wenn sie mehrere Protokolle oder Multicast tunneln müssen. IT-Teams können GRE zusätzlich zu IPsec wählen, wenn sie die Multiprotokoll-Funktionalität von GRE in Kombination mit dem Datenschutz von IPsec benötigen. Schließlich sollten Sie bei der Verwendung von Tunneln die MTU-Problematik im Auge behalten.