írta: Tim Charlton
IP Security (IPSec) A virtuális magánhálózatok (VPN-ek) és az Általános Routing Encapsulation (gre) alagutak egyaránt módszerek az adatok átvitelére nyilvános, közvetítő hálózatokon, például az Interneten keresztül. A két technológia között azonban jelentős különbségek vannak. Kezdjük egy rövid áttekintéssel.
a VPN lehetővé teszi a vállalat számára, hogy minimális költséggel biztonságosan megossza az adatokat és szolgáltatásokat különböző helyszínek között. Azok a felhasználók, akik nem rendelkeznek állandó munkaállomással egy szervezetben, csatlakozhatnak egy VPN-hez, hogy otthoni számítógépről, laptopról vagy más mobileszközről távolról hozzáférjenek a vállalati adatokhoz. A VPN-megoldás bevezetésével a vállalat az alábbiak mindegyikéből profitálhat:
- költségmegtakarítás – nincs szükség arra, hogy telekommunikációs szolgáltatótól béreljen vonalakat egy nagy kiterjedésű hálózat (WAN) létrehozásához, ha VPN-t valósít meg egy meglévő internetkapcsolaton keresztül. Ezért a VPN megvalósításának költsége alacsonyabb, mint a hagyományos bérelt vonali WAN megvalósításának költsége. A VPN-megoldáshoz azonban Internet-hozzáférésre van szükség minden egyes webhely vagy mobil felhasználó számára, amelynek csatlakoznia kell a VPN-hez.
- titkosított forgalom – a VPN-ek különféle titkosítási módszereket használhatnak az IPSec protokoll keretrendszerén belül, hogy biztosítsák a forgalmat a szervezet és távoli helyei vagy felhasználói között. Alternatív megoldásként néhány VPN-telepítés titkosítja az adatokat a Secure Sockets Layer (SSL) használatával, amely számos online kiskereskedő, banki webhely és más internetes vállalkozás által használt titkosítási szabvány.
- egyszerű hálózatbővítés – a VPN-hozzáféréshez általában csak internetkapcsolat, VPN-átjáró készülék és egyes telepítéseknél szoftveralkalmazás szükséges. Ezért a VPN kiterjesztése új helyekre és távoli felhasználókra általában olcsóbb, és kevesebb konfigurációt igényel, mint egy új webhely csatlakoztatása bérelt vonali WAN-hoz.
az IPSec VPN-ekhez hasonlóan a GRE alagutakat két hálózat közötti pont-pont kapcsolatok létrehozására használják. A GRE alagutak néhány előnye és jellemzője a következő:
- Adatkapszuláció – a GRE alagutak olyan csomagokat tartalmaznak, amelyek a közvetítő hálózattal (utasprotokollokkal) összeegyeztethetetlen protokollokat használnak a kompatibilis protokollokon belül (szállítási protokollok). Ez lehetővé teszi az adatok továbbítását olyan hálózatokon keresztül, amelyeken egyébként nem lehetett áthaladni. Például megvalósíthat egy GRE-alagutat két AppleTalk-hálózat összekapcsolására csak IP-hálózaton keresztül, vagy IPv4-csomagok továbbítására egy olyan hálózaton keresztül, amely csak IPv6-ot használ.
- egyszerűség – a GRE alagutak alapértelmezés szerint nem rendelkeznek az áramlásszabályozással és a biztonsággal kapcsolatos mechanizmusokkal. A funkciók hiánya megkönnyítheti a konfigurációs folyamatot. Valószínűleg azonban nem akarja titkosítatlan formában továbbítani az adatokat egy nyilvános hálózaton; ezért a GRE alagutak biztonsági okokból kiegészíthetők az IPSec protokollcsomaggal. Ezenkívül a GRE alagutak egyetlen alagúton keresztül továbbíthatják az adatokat a szomszédos hálózatokról, amit a VPN-ek nem tudnak megtenni.
- Multicast traffic forwarding – a GRE alagutak felhasználhatók a multicast forgalom továbbítására, míg a VPN nem. Emiatt a multicast forgalom, például az útválasztási protokollok által küldött hirdetések könnyen átvihetők a távoli webhelyek között, ha GRE alagutat használnak.
összefoglalva, mind a VPN-ek, mind a GRE alagutak felhasználhatók az adatok távoli helyek közötti átvitelére. A hasonlóságok azonban véget érnek. Ha biztonságos módszert szeretne biztosítani a távoli felhasználók összekapcsolására a központi helyen tárolt erőforrásokkal, akkor valószínűleg VPN-t kell bevezetnie. Ha azonban át kell adnia a forgalmat egy egyébként inkompatibilis hálózaton, akkor GRE alagutat kell végrehajtani.