فضای مجازی به اندازه انقلاب اسلامی اهمیت دارد
امام خامنه ای رو حی فداه


میکروتیک8: تانل GRE - IPIP - IPsec کلیات

یکی دیگر از کاربرد های تانل انتقال IP به آن طرف تانل است. فرض کنید میخواهیم یک پهنای باند را از یک روتر به روتر دیگر انتقال دهیم اما در زمانی که ما بین این 2 چند عدد روتر دیگر وجود داشته باشد. پر واضح است که این دو روتر نمیتوانند از یک رنج IP داشته باشند پس عملا routing بین این دو منتفی میشود.

در مقاله زیر به ایجاد  یک نوع تانل ساده و در عین حال قوی  به نام GRE و نحوه کانفیگ و راه اندازی آن و سپس IPIP یا IP.in.IP می پردازیم.

در این نوع تانل ها از هیچ نوع فشرده سازی و کدگزاری استفاده نمیشود بلکه تنها یک header به پکت مربوطه اضافه شده و در مقصد برداشته میشود.

لازم به ذکر است که استاندارد این نوع تانل متعلق به شرکت Cisco System میباشد که بعضی روتر های دیگر نظیر Mikrotik نیز از آن پیروی میکنند.

GRE به معنی Generic Routing Encapsulation می باشد که عبارت Encapsulation نشان دهنده کپسوله شدن دیتاهاست. در واقع GRE همان IPIP تانل است که ۴ بایت بیشتر از IPIP تانل به پکت ها اضافه می کند که می شود ۲۴ بایت.
در این نوع تانل هم می بایست در هر طرف از روتر ها آی پی روتر مقصد رو وارد کنیم تا ارتباط بر قرار شود و نهایت امر اختصاص IP به اینترفیس های ایجاد شده و انجام عملیات static routing .
GRE عموما به صورت Point to Point بین دو روتر سیسکو برقرار میشود ، برای مثال شما میتوانید بر روی بستری عمومی مثال اینترنت یا اینترانت ، دفاتر و شعبات خود را توسط GRE بین روتر های مرزی به یکدیگر متصل و از مزایای Dynamic Routing استفاده کنید و یا برای انتقال اینترنت بر روی بستر اینترانت و یا انتقال خطوط تلفن بین دفاتر شرکت و سازمان و یا انتقال تصویر و یا هر نوع دیتای مهم دیگری که میبایست بر روی یک بستر عمومی نظیر اینترنت و یا اینترانت یا همان شبکه ملی داده به شکل خصوصی انتقال یابد .
GRE ذاتا Stateless است ، بدین معنی که متوجه افتادن لینک نمیشد ، البته میتوانید از keep-alive ها استفاده کنید و یا از floating static route توسط Policy Based Routing PBR و یا حتی از IP SLA جهت Redundancy استفاده کنید.

نحوه تغییر پکت ها در تانل GRE بدون IPsec در دیاگرام زیر آمده است

در دیاگرام فوق original headerهمان Ip های شبکه و private است که مثلا می خواهیم از دیوایسی در شبکه اول به نشانی  192.168.10.2 پکتی به دیوایسی در شبکه دوم به نشانی 192.168.226.5 ارسال کنیم.

ESP همان Encapsulating Security Protocol  می باشدکه در مقاله IPsec قبلا گفته شد

تفاوت GRE با ipsec در رمزنگاری اطلاعات است
توی GRE فقط یک Header ip به بسته اضافه میشه و درصورتی که بسته رو باز کنید ip اصلی بسته و اطلاعاتشو میتونی ببینی و بیشتر برای عبور بسته ها دارای ip private روی بستر عمومی مثل اینترنت که فقط بسته هایی با ip public رو از خودش عبور میده استفاده میشه
اما ipsec کل بسته حتی header ip بسته رو رمز نگاری میکنه برای همین شما اگه بسته ببینید حتی ip اصلی اون رو نمی تونید ببینید.
توی این عکسی که گذاشتم ipsec رو نشون میده

ipsec

یک شبکه کامپیوتری متشکل از دو یا بیشتر از دو عدد کامپیوتر یا تجهیزات الکترونیکی می باشد که به همدیگر متصل شده اند و اجازه به اشتراک گذاری منابع و اطلاعات را با همدیگر می دهند. به صورت کلی سه نوع شبکه داریم که آنها را به اسم اینترنت ، اینترانت و اکسترانت می شناسیم. البته طبقه بندی های دیگری در شبکه نیز وجود دارد که ابعاد یک شبکه را نشان می دهد ، برای مثال شبکه LAN برای نمایش شبکه های کوچک در حد یک ساختمان ، شبکه MAN برای شبکه هایی در سطح یک شهر و شبکه WAN برای شبکه هایی با گستردگی زیاد و همچنین شبکه های WLAN را می توان عنوان کرد. این شبکه ها و به ویژه شبکه هایی که از اینترنت استفاده می کنند از پروتکل های ارتباطی مختلفی برای برقراری ارتباط بین کاربران در سطح شبکه استفاده می کنند. یک بسته اطلاعاتی یا Packet شامل اطلاعات کنترلی است که بررسی مواردی از قبیل اطمینان از رسیدن اطلاعات به مقصد ، شناسایی خطاهای احتمالی و تصحیح آنها و ... را بر عهده دارد.

تفاوت IPsec و GRE

تفاوت بین IPSEC و GRE در چیست ؟


یکی از این بسته های اطلاعاتی که بیشترین استفاده را در سطح اینترنت دارد بسته های اطلاعاتی پروتکل Internet Protocol یا IP است که در واقع مهمترین پروتکل مورد استفاده در اینترنت است . این پروتکل وظیفه مسیریابی کامپیوترها و دستگاه هایی که از آدرس های IP برای برقراری ارتباط استفاده می کنند را بر عهده دارد. با استفاده از بسته های اطلاعاتی یا همان Packet ها ، شبکه ها می توانند فرآیند آدرس دهی به چندین Host در شبکه و همچنین خطایابی را براحتی انجام دهند. حال برای اینکه این اطلاعات در شبکه در حین انتقال در خطر شنود قرار نگیرد ارتباطات IP بایستی با استفاده از پروتکل های رمزنگاری و احراز هویتی که ویژه IP Packet ها و Session مربوط به آنها هستند رمزنگاری و احراز هویت شود. برخی از پروتکلهای مورد استفاده برای این فرآیند های امنیتی که بیشترین استفاده را دارند پروتکل هایی نظیر Secure Socket Layer یا SSL ، Secure Shell یا SSL ، Transport Layer Security یا TLS و Internet Protocol Security یا IPsec هستند.

IPsec چیست ؟


IPsec برای حفاظت از داده های اشتراکی بین دو هاست ، دو Gateway و یا حتی یک Gateway و یک Host استفاده می شود. برخلاف سایر سیستم های امنیتی حتی می توان از IPsec در نرم افزارهایی که برای استفاده از آن طراحی نشده اند نیز استفاده کرد. در زمانیکه یک Session ارتباطی قرار است ایجاد شود ، پروتکل امنیتی IPsec به agent ها اجازه می دهد که یک احراز هویت دو طرفه یا Mutual Authentication را انجام دهد و همچنین کاری می کند که دو طرف ارتباط بر روی یک الگوریتم و کلید رمزنگاری برای رمزنگاری حین Session ارتباط موافقت کنند. IPsec هم می تواند در دو حالت transport mode و هم در حالت tunnel mode ارتباط طرفین را برقرار کند. IPsec یک استاندارد جهانی است و می تواند با استفاد از مجموعه ای از پروتکل هایی که استفاده می کند انواع و اقسام فرآیند های امنیتی را انجام دهد ، از جمله پروتکل های مورد استفاده در IPsec می توان به Authentication Header یا AH برای مقابله با حملات Replay ، پروتکل Encapsulating Security Payload یا ESP برای دادن قابلیت محرمانگی به داده ها و در نهایت Security Associations یا SA برای ایجاد داده های مورد استفاده در AH و ESP اشاره کرد.

مقایسه IPsec و GRE تفاوت IPsec Tunnel  و GRE Tunnel

GRE چیست ؟


از طرفی دیگر GRE که مخفف کلمات Generic Routing Encapsulation است یک پروتکل Tunneling است که برای انتقال سایر Routed Protocol ها در یک شبکه مبتنی بر IP مورد استفاده قرار می گیرد. GRE یک پروتکل Stateless است و هیچگونه مکانیزمی برای جلوگیری از به وجود آمدن flow در ترافیک ندارد یا در اصطلاح فنی GRE مکانیزم flow control ندارد. زمانیکه IPsec محرمانگی داده ها را با استفاده از مکانیزم های احراز هویت تامین می کند پروتکل GRE از امنیت ضعیفتری برخوردار است و نمی تواند همانند IPsec امنیت ارتباط را تضمین کند. همچنین GRE دارای یک byte header اضافی هم هست که همین موضوع باعث ایجاد شدن تاخیر در فرآیند مسیریابی و ارسال Packet ها می شود. اما در کنار این IPsec فقط می تواند Packet ها را ارسال کند و قابلیت های GRE در ارسال Routing Protocol ها را ندارد. اگر بخواهیم بصورت خلاصه IPsec و GRE را مقایسه کنیم به شکل زیر می توانیم بیان کنیم :

  • IPsec مخفف Internet Protocol Security است و GRE مخفف Generic Routing Encapsulation
  • IPsec یکی از پروتکل های اصلی در اینترنت است در حالیکه GRE نیست
  • GRE می تواند سایر Routed Protocol هایی مثل IP Packet را منتقل کند در حالیکه IPsec اینکار را نمی تواند بکند
  • IPsec درجه امنیتی بالاتری نسبت به GRE دارد و این به خاطر وجود مکانیزم های امنیتی این پروتکل است
  • GRE دارای یک byte header است که باعث کند شدن فرآیند مسیریابی و انتقال بسته ها می شود در حالیکه در IP sec اینطور نیست.



یکی از منابع: انجمن تخصصی فناوری اطلاعات ایران

بازدیدکنندگان: ۱۳۰۶ نفر در ۱۵۱۸ بار مطالعه ویرایش/ثبت:۹۳/۱۲/۱۹ موافقین ۰ مخالفین ۰
مجید محمدی
ارسال نظر آزاد است، اما اگر قبلا در بیان ثبت نام کرده اید می توانید ابتدا وارد شوید.
تجدید کد امنیتی

نظرات (۰)

هیچ نظری هنوز ثبت نشده است

نکته: مطالبی که نیاز به رمز عبور دارند هنوز از نظر ویرایش یا تست صحت و کارایی با توجه به تجربیات شخصی نهایی نشده اند و پس از نهایی شدن رمز غیر فعال می شود
لطفا پیام ها و نظرات را بصورت عمومی و غیر خصوصی بگذارید تا پاسخ ها همانجا داده شود