999国内精品永久免费视频,色偷偷9999www,亚洲国产成人爱av在线播放,6080亚洲人久久精品,欧美超高清xxxhd

1、兩者的封包過(guò)程

            IPPSEC Over GRE即IPSEC在里，GRE在外。先把需要加密的數(shù)據(jù)包封裝成IPSEC包，然后再扔到GRE隧道里。做法是把IPSEC的加密圖作用在Tunnel 口上的，即在Tunnel口上監(jiān)控（訪問(wèn)控制列表監(jiān)控本地ip網(wǎng)段-源i和遠(yuǎn)端ip網(wǎng)段-目的地），是否有需要加密的數(shù)據(jù)流，有則先加密封裝為IPSEC 包，然后封裝成GRE包進(jìn)入隧道（這里顯而易見(jiàn)的是，GRE隧道始終都是存在的，即GRE隧道的建立過(guò)程并沒(méi)有被加密），同時(shí)，未在訪問(wèn)控制列表里的數(shù)據(jù)流將以不加密的狀態(tài)直接走GRE隧道，即存在有些數(shù)據(jù)可能被不安全地傳遞的狀況。而GRE Over IPSEC是指，先把數(shù)據(jù)分裝成GRE包，然后再分裝成IPSEC包。做法是在物理接口上監(jiān)控，是否有需要加密的GRE流量（訪問(wèn)控制列表針對(duì)GRE兩端的設(shè)備ip），所有的這兩個(gè)端點(diǎn)的GRE數(shù)據(jù)流將被加密封裝為IPSEC包再進(jìn)行傳遞，這樣保證的是所有的數(shù)據(jù)包都會(huì)被加密，包括隧道的建立和路由的建立和傳遞。

2、加密映射圖的應(yīng)用    

 IPSEC Over GRE：

          a. 訪問(wèn)控制列表，針對(duì)兩個(gè)網(wǎng)段的數(shù)據(jù)流，如：

               ip access-list extended vpn12

                  permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255

          b. 加密圖放在Tunnel口

        GRE Over IPSEC：

          a. 訪問(wèn)列表，針對(duì)兩個(gè)路由器之間的GRE流，如：

               ip access-list extended vpn12

                  permit gre host 172.16.11.2 host 172.16.22.2

          b. 加密圖作用在物理口。

       無(wú)論是哪種數(shù)據(jù)流，若一方進(jìn)行了加密，而另一方?jīng)]有配，則無(wú)法通訊，對(duì)于GRE,則路由鄰居都無(wú)法建立。

3、隧道模式和傳輸模式

所謂的隧道模式還是傳輸模式，是針對(duì)如ESP如何封裝數(shù)據(jù)包的，前提是ESP在最外面，如果都被Over到了 GRE里，自然談不上什么隧道模式和傳輸模式（都為隧道模式）。只有當(dāng)GRE Over IPSEC的時(shí)候，才可以將模式改為傳輸模式。

       IPSEC不支持組播，即不能傳遞路由協(xié)議，而GRE支持。