Von Tim Charlton
IP Security (IPSec) Virtual Private Networks (VPNs) und Generic Routing Encapsulation (GRE) Tunnel sind beide Methoden zur Übertragung von Daten über öffentliche, zwischengeschaltete Netzwerke wie das Internet. Es gibt jedoch erhebliche Unterschiede zwischen den beiden Technologien. Beginnen wir mit einem kurzen Überblick.
Ein VPN ermöglicht es einem Unternehmen, Daten und Dienste sicher und kostengünstig zwischen verschiedenen Standorten auszutauschen. Benutzer, die keinen festen Arbeitsplatz in einer Organisation haben, können eine Verbindung zu einem VPN herstellen, um von einem Heimcomputer, Laptop oder einem anderen mobilen Gerät aus auf Unternehmensdaten zuzugreifen. Durch die Implementierung einer VPN-Lösung kann ein Unternehmen von allen folgenden Vorteilen profitieren:
- Kosteneinsparungen – Es besteht keine Notwendigkeit, Leitungen von einem Telekommunikationsdienstleister zu leasen, um ein Wide Area Network (WAN) aufzubauen, wenn Sie ein VPN über eine vorhandene Internetverbindung implementieren. Daher sind die Kosten für die Implementierung eines VPN geringer als für die Implementierung eines herkömmlichen Mietleitungen-WAN. Eine VPN-Lösung erfordert jedoch einen Internetzugang für jeden einzelnen Standort oder mobilen Benutzer, der eine Verbindung zum VPN herstellen soll.
- Verschlüsselter Datenverkehr – VPNs können eine Vielzahl von Verschlüsselungsmethoden innerhalb des IPSec-Protokollrahmens verwenden, um den Datenverkehr zwischen einer Organisation und ihren Remote-Standorten oder Benutzern zu sichern. Alternativ verschlüsseln einige VPN-Installationen Daten mithilfe von Secure Sockets Layer (SSL), dem Verschlüsselungsstandard, der von vielen Online-Händlern, Bankwebsites und anderen internetbasierten Unternehmen verwendet wird.
- Einfache Netzwerkerweiterung – Für den VPN-Zugriff sind in der Regel nur eine Internetverbindung, eine VPN-Gateway-Appliance und in einigen Installationen eine Softwareanwendung erforderlich. Daher ist die Erweiterung eines VPN um neue Standorte und Remotebenutzer in der Regel kostengünstiger und erfordert weniger Konfiguration als die Verbindung eines neuen Standorts mit einem Mietleitungen-WAN.
Wie IPSec-VPNs werden GRE-Tunnel verwendet, um Punkt-zu-Punkt-Verbindungen zwischen zwei Netzwerken herzustellen. Einige der Vorteile und Eigenschaften von GRE-Tunneln umfassen Folgendes:
- Datenkapselung – GRE-Tunnel kapseln Pakete, die Protokolle verwenden, die mit einem Zwischennetzwerk nicht kompatibel sind (Passagierprotokolle), in Protokolle, die kompatibel sind (Transportprotokolle). Dadurch können Daten über Netzwerke gesendet werden, die sonst nicht durchquert werden könnten. Sie können beispielsweise einen GRE-Tunnel implementieren, um zwei AppleTalk-Netzwerke über ein reines IP-Netzwerk zu verbinden oder IPv4-Pakete über ein Netzwerk zu routen, das nur IPv6 verwendet.
- Einfachheit – GRE-Tunneln fehlen standardmäßig Mechanismen zur Flusskontrolle und Sicherheit. Dieser Mangel an Funktionen kann den Konfigurationsprozess erleichtern. Sie möchten jedoch wahrscheinlich keine Daten unverschlüsselt über ein öffentliches Netzwerk übertragen, daher können GRE-Tunnel aus Sicherheitsgründen durch die IPSec-Protokollsuite ergänzt werden. Darüber hinaus können GRE-Tunnel Daten aus unzusammenhängenden Netzwerken über einen einzigen Tunnel weiterleiten, was VPNs nicht können.
- Multicast Traffic Forwarding – GRE-Tunnel können verwendet werden, um Multicast-Datenverkehr weiterzuleiten, während ein VPN dies nicht kann. Aus diesem Grund kann Multicast-Datenverkehr, z. B. Anzeigen, die von Routingprotokollen gesendet werden, bei Verwendung eines GRE-Tunnels problemlos zwischen Remotestandorten übertragen werden.
Zusammenfassend können sowohl VPNs als auch GRE-Tunnel verwendet werden, um Daten zwischen entfernten Standorten zu übertragen. Ihre Ähnlichkeiten enden jedoch dort. Wenn Sie eine sichere Methode zum Verbinden von Remotebenutzern mit Ressourcen bereitstellen möchten, die an einem zentralen Ort gespeichert sind, sollten Sie wahrscheinlich ein VPN implementieren. Wenn Sie jedoch Datenverkehr über ein ansonsten inkompatibles Netzwerk übertragen müssen, sollte ein GRE-Tunnel implementiert werden.