By Tim Charlton
bezpieczeństwo IP (IPSec) Wirtualne Sieci Prywatne (VPN) i Generic Routing Encapsulation (GRE) tunele to metody przesyłania danych w publicznych sieciach pośredniczących, takich jak Internet. Istnieją jednak znaczne różnice między tymi dwoma technologiami. Zacznijmy od krótkiego przeglądu.
VPN umożliwia firmie bezpieczne udostępnianie danych i usług między różnymi lokalizacjami przy minimalnych kosztach. Użytkownicy, którzy nie mają stałej stacji roboczej w organizacji, mogą połączyć się z VPN, aby zdalnie uzyskać dostęp do danych firmy z domowego komputera, laptopa lub innego urządzenia mobilnego. Wdrażając rozwiązanie VPN, firma może skorzystać ze wszystkich następujących korzyści:
- oszczędność kosztów-nie ma potrzeby dzierżawy linii od dostawcy usług telekomunikacyjnych w celu budowy sieci rozległej (Wan), jeśli zaimplementujesz VPN przez istniejące połączenie internetowe. Dlatego koszt wdrożenia sieci VPN jest niższy niż koszt wdrożenia tradycyjnej dzierżawionej sieci WAN. Jednak rozwiązanie VPN wymaga dostępu do Internetu dla każdej witryny lub użytkownika mobilnego, który ma połączyć się z VPN.
- ruch szyfrowany – sieci VPN mogą korzystać z różnych metod szyfrowania w ramach protokołu IPSec, aby zabezpieczyć ruch między organizacją a jej zdalnymi lokalizacjami lub użytkownikami. Alternatywnie, niektóre instalacje VPN szyfrują dane za pomocą Secure Sockets Layer (SSL), który jest standardem szyfrowania używanym przez wielu sprzedawców internetowych, strony internetowe banków i inne firmy internetowe.
- Łatwa rozbudowa sieci – dostęp do sieci VPN zazwyczaj wymaga tylko połączenia z Internetem, urządzenia bramy VPN, a w niektórych instalacjach aplikacji. Dlatego rozszerzenie sieci VPN o nowe lokalizacje i użytkowników zdalnych jest zazwyczaj tańsze i wymaga mniejszej konfiguracji niż podłączenie nowej witryny do dzierżawionej sieci WAN.
podobnie jak sieci VPN IPSec, tunele GRE są używane do tworzenia połączeń punkt-punkt między dwiema sieciami. Niektóre z zalet i cech tuneli GRE obejmują następujące:
- hermetyzacja danych – tunele GRE hermetyzują Pakiety wykorzystujące protokoły niezgodne z siecią pośrednią (protokoły pasażerskie) w ramach protokołów kompatybilnych (protokoły transportowe). Pozwala to na przesyłanie danych przez sieci, które w przeciwnym razie nie mogłyby być przemierzane. Na przykład, można zaimplementować tunel GRE do łączenia dwóch sieci AppleTalk przez sieć tylko IP lub do kierowania pakietów IPv4 przez sieć, która używa tylko IPv6.
- prostota – w tunelach GRE domyślnie brakuje mechanizmów związanych z kontrolą przepływu i bezpieczeństwem. Ten brak funkcji może ułatwić proces konfiguracji. Jednak prawdopodobnie nie chcesz przesyłać danych w niezaszyfrowanej formie przez sieć publiczną; dlatego tunele GRE mogą być uzupełnione przez pakiet protokołów IPSec ze względów bezpieczeństwa. Ponadto tunele GRE mogą przesyłać dane z niezadowolonych sieci przez pojedynczy tunel, czego VPN nie może zrobić.
- przekazywanie ruchu Multicast – tunele GRE mogą być używane do przekazywania ruchu multicast, podczas gdy VPN nie może. Dzięki temu ruch multicastowy, taki jak reklamy wysyłane przez protokoły routingu, może być łatwo przenoszony między zdalnymi witrynami podczas korzystania z tunelu GRE.
podsumowując, zarówno sieci VPN, jak i tunele GRE mogą być używane do przesyłania danych między zdalnymi lokalizacjami. Na tym jednak kończą się ich podobieństwa. Jeśli chcesz zapewnić bezpieczną metodę łączenia zdalnych użytkowników z zasobami przechowywanymi w centralnej lokalizacji, prawdopodobnie powinieneś zaimplementować VPN. Jeśli jednak musisz przepuścić ruch przez niezgodną sieć, należy zaimplementować tunel GRE.