什麼是gre vpn?跟pptp/l2tp有什麼區別?

的效用。另一方面，自動管理系統可以隨時建立新的sa密鑰，並可以對較大的分布式系統上使用密鑰進行定期的更新。自動管理模式是很有彈性的，但需要花費更多的時間及精力去設置，同時，還需要使用更多的軟件。
ipsec的自動管理密鑰協議的默認名字是isakmp/oakley。互聯網安全組織及密鑰管理協議（internetsecurityassociationandkeymanagementprotocolisakmp）對互聯網密鑰管理的架構以及特定的協議提供支持。oakley密鑰使用的協議基於diffle-hellman算法，但它也提供額外的安全功能。特別是oakley包括認證用戶的機制。

ipsec的實現方式

ipsec的一個最基本的優點是它可以在共享網絡訪問設備，甚至是所有的主機和服務器上完全實現，這很大程度避免了升級任何網絡相關資源的需要。在客戶端，ipsec架構允許使用在遠程訪問介入路由器或基於純軟件方式使用普通modem的pc機和工作站。通過兩種模式在應用上提供更多的彈性：傳送模式和隧道模式。

ipsecpacket可以在壓縮原始ip地址和數據的隧道模式使用

傳送模式通常當esp在一台主機（客戶機或服務勤）上實現時使用，傳送模式使用原始明文ip頭，並且只加密數據，包括它的tcp和udp頭。
隧道模式通常當esp在關聯到多台主機的網絡訪問介入裝置實現時使用，隧道模式處理整個ip數據包--包括全部tcp/ip或udp/ip頭和數據，它用自己的地址做為源地址加入到新的ip頭。當隧道模式用在用戶終端設置時，它可以提供更多的便利來隱藏內部服務器主機和客戶機的地址。
esp支持傳輸模式，這種方式保護了高層協議。傳輸模式也保護了ip包的內容，特別是用於兩個主機之間的端對端通訊（例如，客戶與服務器，或是兩台工作站）。傳輸模式中的esp加密及有時候會認證ip包內容，但不認證ip的包頭。這種配置對於裝有ipsec的小型網絡特別有用。

但是，要全面實施vpn，使用隧道模式會更有效。esp也支持隧道模式，保護了整個ip包。為此，ip包在添加了esp字段後，整個包以及包的安全字段被認為是新的ip包外層內容，附有新的ip外層包頭。原來的（及內層）包通過“隧道”從一個ip網絡起點傳輸到另一個ip網點，中途的路由器可以檢查ip的內層包頭。因為原來的包已被打包，新的包可能有不同的源地址及目的地址，以達到安全的目的。

隧道模式被用在兩端或是一端是安全網關的架構中，例如裝有ipsec的路由器或防火牆。使用了隧道模式，防火牆內很多主機不需要安裝ipsec也能安全地通信。這些主機所生成的未加保護的網包，經過外網，使用隧道模式的安全組織規定（即sa，發送者與接收者之間的單向關系，定義裝在本地網絡邊緣的安全路由器或防火牆中的ipsec軟件ip交換所規定的參數）傳輸。

以下是隧道模式的ipsec運作的例子。某網絡的主機甲生成一個ip包，目的地址是另一個網中的主機乙。這個包從起始主機被發送到主機甲的網絡邊緣的安全路由器或防火牆。防火牆把所有出去的包過濾，看看有哪些包需要進行ipsec的處理。如果這個從甲到乙的包需要使用ipsec，防火牆就進行ipsec的處理，並把網包打包，添加外層ip包頭。這個外層包頭的源地址是防火牆，而目的地址可能是主機乙的網絡邊緣的防火牆。現在這個包被傳送到主機乙的防火牆，中途的路由器只檢查外層的ip包頭。主機乙網絡的防火牆會把外層ip包頭除掉，把ip內層發送到主機乙去。

ipsec及vpn

由於企業及政府用戶需要把它們的專用wan/lan架構與互聯網連接，以便訪問互聯網的服務，所以他們非常熱衷於部署安全的ip。用戶需要把它們的網絡與互聯網分隔，但同時要在網上發送及接受網包。安全的ip就可以提供網上的認證及隱私機制。

因為ip安全機制是獨立定義，其用途與現在的ip或ipv6不同，ip安全機制不需要依靠ipv6部署。我們可以看到安全ip的功能會首先被廣泛使用，它會比ipv6先流行起來，因為對ip層的安全需求遠比增加ipv6功能的需求多許多。

有了ipsec，管理人員就有了實施vpn的安全標准。此外，所有在ipsec中使用的加密及認證算法已經過仔細的研究和幾年的驗證，所以用戶大可放心地將安全問題交付給ipsec。

gre:通用路由協議，非常簡單的vpn，三層vpn，pptp，l2tp是2層vpn，三層vpn，可以做ip承載ip的vpn，將私網ip放在公網ip上傳輸，而這只是其一個作用而已，從而構建vpn，常和pptpvpn組合使用，要理解其vpn和pptp，l2tpvpn的區別，必須看gre的報文結構。詳細內容見rfc。

上一页 [1] [2]