GRE over IPSec与 IPSEC OVER GRE

locker

求大家给我讲一讲GRE OVER IPSEC 与IPSEC OVER GRE 的区别？？？？？

哪种用的多？？？？

lgw5821228

这两个的区别其实看它们的名字就知道了。
IPSec Over GRE就是先把需要加密的数据包封装成IPSec包，然后再扔到GRE隧道里。作法是把IPSec的加密图作用在Tunnel口上的，即在Tunnel口上监控查看是否有需要加密的数据流，有则先加密封装为IPSec包，然后封装成GRE包进入隧道（这里显而易见的是，GRE隧道始终无论如何都是存在的，即GRE隧道的建立过程并没有被加密），同时，未在访问控制列表里的数据流将以不加密的状态直接走GRE隧道，即存在有些数据可能被不安全地传递的状况。
而GRE Over IPSec是指，先把数据分装成GRE包，然后再分装成IPSec包。做法是在物理接口上监控，是否有需要加密的GRE流量（访问控制列表针对GRE两端的设备ip），所有的这两个端点的GRE数据流将被加密分装为IPSec包再进行传递，这样保证的是所有的数据包都会被加密，包括隧道的建立和路由的建立和传递。
很明显，GRE Over IPSec是更优秀的，所以如果楼主有看CCNP教程，就会发现?上面只提到了GRE Over IPSec。

狐狼象鹰

lgw5821228 发表于 2012-1-30 09:37
这两个的区别其实看它们的名字就知道了。
IPSec Over GRE就是先把需要加密的数据包封装成IPSec包，然后再扔 ...

前辈，想问一下你，关于做ipsec over gre实验，set peer ip 和 crypto isamap key o ccie add ip ，这两个ip是不是有多种选择，比如说tunnel的ip，物理口的ip，loopback的ip，有什么区别？？现在对这个很混乱啊，做实验老是不知道问题出现在哪里。。