av Tim Charlton
IP Security (IPSec) Virtual Private Networks (VPN) och Generic Routing Encapsulation (gre) tunnlar är båda metoderna för överföring av data över offentliga, mellanliggande nätverk, till exempel Internet. Det finns dock stora skillnader mellan de två teknikerna. Låt oss börja med en kort översikt.
en VPN gör det möjligt för ett företag att säkert dela data och tjänster mellan olika platser till minimal kostnad. Användare som inte har en permanent arbetsstation i en organisation kan ansluta till en VPN för att få fjärråtkomst till företagsdata från en hemdator, bärbar dator eller annan mobil enhet. Genom att implementera en VPN-lösning kan ett företag dra nytta av alla följande:
- kostnadsbesparingar – det finns inget behov av att hyra linjer från en telekommunikationstjänstleverantör för att bygga ett WAN (wide area network) om du implementerar en VPN via en befintlig internetanslutning. Därför är kostnaden för att implementera en VPN mindre än för att implementera en traditionell hyrd WAN. En VPN-lösning kräver dock Internetåtkomst för varje enskild webbplats eller mobilanvändare som ska ansluta till VPN.
- krypterad trafik-VPN kan använda en mängd olika krypteringsmetoder inom IPSec-protokollramen för att säkra trafik mellan en organisation och dess avlägsna platser eller användare. Alternativt krypterar vissa VPN-installationer data med hjälp av Secure Sockets Layer (SSL), som är krypteringsstandarden som används av många onlinehandlare, bankwebbplatser och andra internetbaserade företag.
- enkel nätverksexpansion-VPN-åtkomst kräver vanligtvis bara en Internetanslutning, en VPN-gateway-apparat och i vissa installationer en programvara. Därför är det vanligtvis billigare att utöka en VPN för att inkludera nya platser och fjärranvändare och kräver mindre konfiguration än att ansluta en ny webbplats till en hyrd WAN.
liksom IPSec VPN används gre-tunnlar för att skapa punkt-till-punkt-anslutningar mellan två nätverk. Några av fördelarna och egenskaperna hos gre-tunnlar inkluderar följande:
- data inkapsling-gre-tunnlar inkapslar paket som använder protokoll som är oförenliga med ett mellanliggande nätverk (passagerarprotokoll) inom protokoll som är kompatibla (transportprotokoll). Detta gör att data kan skickas över nätverk som annars inte kunde korsas. Du kan till exempel implementera en gre-tunnel för att ansluta två AppleTalk-nätverk via ett IP-Only-nätverk eller för att dirigera IPv4-paket över ett nätverk som bara använder IPv6.
- enkelhet – gre-tunnlar saknar mekanismer relaterade till flödeskontroll och säkerhet som standard. Denna brist på funktioner kan underlätta konfigurationsprocessen. Men du vill förmodligen inte överföra data i en okrypterad form över ett offentligt nätverk; därför kan gre-tunnlar kompletteras med IPSec-serien av protokoll för säkerhetsändamål. Dessutom kan gre-tunnlar vidarebefordra data från motstridiga nätverk genom en enda tunnel, vilket är något VPN inte kan göra.
- multicast traffic forwarding – gre-tunnlar kan användas för att vidarebefordra multicast-trafik, medan en VPN inte kan. På grund av detta kan multicast-trafik som annonser som skickas via routingprotokoll enkelt överföras mellan avlägsna platser när man använder en gre-tunnel.
Sammanfattningsvis kan både VPN och GRE-tunnlar användas för att överföra data mellan avlägsna platser. Men deras likheter slutar där. Om du vill tillhandahålla en säker metod för att ansluta fjärranvändare till resurser lagrade på en central plats, bör du förmodligen implementera en VPN. Men om du behöver skicka trafik över ett annars inkompatibelt nätverk, bör en gre-tunnel implementeras.