【MVP交流】IPSEC Over GRE比较GRE Over IPSEC哪个更好？>>回帖有奖，欢迎与专家1v1交流！

MVP资料▷某公司最有价值专家（MVP）-吴红霞（←欢迎关注），北京区域SCSA金牌讲师，毕业于某公司。拥有多年培训讲师经验，进入某公司总代公司后，2年时间内实施交付多个项目。

本期想跟大家探讨"IPSEC Over GRE和GRE Over IPSEC，到底是IPSEC Over GRE好呢？还是GRE Over IPSEC好呢？"如果您对方面感兴趣，欢迎对本期话题进行探讨。如您有网络安全相关方面的问题或建议，欢迎回帖提问 !一起交流学习，精进技术！

---

背景介绍：

IPsec是如今十分主流的分支机构互联VPN协议，其本身强大的加密与验证功能保障了在互联网传递时私网数据的安全，但是面对当前多元化的访问需求，Ipsec VPN并不能满足客户对私网网段之间复杂的互访要求；在实际环境中，分隔两地的机构要求通过VPN隧道建立私网之间的路由邻居关系，而Ipsec VPN本身并不具备传递路由的能力，所以GRE over IPSEC技术应运而生。

与GRE over IPSEC相似的还有IPSEC over GRE，那到底这两种VPN到底是谁比较好用呢？

IPSEC Over GRE：即IPSEC在里，GRE在外。做法是把IPSEC的加密作用在Tunnel口上的，即在Tunnel口上监控是否有需要加密的数据流，有则先加密封装为IPSEC包，然后封装成GRE包进入隧道。

GRE Over IPSEC：即GRE在里，IPSEC在外。做法是在物理接口上监控，是否有需要加密的GRE流量，所有的这两个端点的GRE数据流将被加密分装为IPSEC包再进行传递。

---

本期圆桌话题围绕以下“2个问题”开展讨论：

讨论点1：IPSEC OVER GRE和 GRE OVER IPSEC配置上的区别？

讨论点2：IPSEC OVER GRE和GRE OVER IPSEC适用场景上的优势和劣势？

如果你也对这方面感兴趣，或有相关问题希望与我一起交流探讨，欢迎跟帖留言！我会不定期与大家互动交流

---

【讨论时间】2020年10月26日---2020年11月8日 23：59

---

【奖品设置】

1、基础回帖奖：凡有效回帖者可获得20S豆奖励；（回帖内容与话题相关且为个人原创）

2、优秀回复奖：凡回复的内容，被管理员设置为优秀回复即可获得100S豆打赏！

3、参与幸运奖：本帖设置800S豆回帖奖励，每次回复有机会获得20S豆；

4、最佳回复奖：活动结束后，由话题发起人评选出1位最佳回复者，赠送畅销书《互联网安全建设从0到1》1本（资深网络安全专家十余年实战经验的结晶，安全领域多位专家联袂推荐）

《互联网安全建设从0到1》好书推荐：

适读人群 ：1.网络安全技术人员、管理人员     2.网络应用开发人员

这是一本适合从安全小白到企业安全负责人阅读的安全书籍，作者将自己年丰富的安全经验融入此书，通俗易懂，雅俗共赏，既可作为安全工程师的工具手册，解决各类常见安全问题，也可以指导安全负责人如何从0到1系统地建设企业安全体系，非常值得推荐。

---

【参与规则】

1、回复须为个人原创且与话题相关，如回复无意义内容，管理员将判定为灌水，进行删除。

2、如恶意抄袭，以不良手段获取礼品行为，一经发现取消其获奖资格，并对账号进行1月以上禁言警示。

3、可盖楼回复但每个id回帖仅奖励一次，其他奖励可叠加，活动结束后将进行统一派发。

↓↓↓

欢迎大家回帖交流

如有上网行为管理相关的问题，欢迎留言提问

先把这两个概念理一下。IPSEC Over GRE即IPSEC在里，GRE在外。先把需要加密的数据包封装成IPSEC包，然后再扔到GRE隧道里。

而GRE Over IPSEC是指，先把数据分装成GRE包，然后再分装成IPSEC包。

简单理解：GRE -Over-IPSec 是先gre后ipsec
                IPSec -Over-GRE是先ipsec后gre


IPsec最大缺点是不支持：组播，广播，非IP地址 ，从而导致不能支持动态路由协议。

原理上：

GRE over IPSEC：ipsec policy应用在本地物理接口上
IPSEC over GRE：ipsec policy应用在本地tunnel接口上

PS:无非就是GRE和ipsec的过程区别

到底谁好：
首先存在即合理 两种情况有不同的用途
GRE over IPSEC 能跑OSPF    IPSEC over GRE（暂未用过）
IPSEC over GRE的本质是ip over GRE，无非是ipsec走了gre的接口。
GRE可以支持动态路由协议，而gre隧道自身的加密功能差，所以使用ipsec对其进行保护。

没有什么哪个好不好 而是取决于协议的复杂程度和适用性上

字是一样的,还是有区别的.GRE OVER IPSEC用到多.IPSec over GRE少.学的时候好像也只学到GRE OVER IPSEC.

路过了，进来学习学习

通俗来说，GRE over IPSec是将GRE流量作为私网流量进行加密，GRE隧道的建立以及隧道中传输的流量都会被加密；而IPSec over GRE是在GRE隧道建立的基础之上，进行私网数据的加密，与普通的IPSec相比，区别仅仅是私网流量从哪转发就从哪进行加密。纯IPSec流量从公网接口转发，将策略应用在公网接口；IPSec over GRE只是因为私网流量从隧道转发，将策略应用在了Tunnel接口下。
实际应用中，经常会出现IPsec、GRE、NAT、PPPoE等各种协议综合应用，但只要了解其中原理，实施起来并不复杂。
以下是一些常见的注意事项：
1、对于GREVPN，若公网地址不固定，则应在Tunnel中的源和目的参数选用本地Loopback接口地址，公网打通Loopback，如果GRE路由选用OSPF等动态路由协议发布，一定不能发布Loopback接口地址，否则会引起路由表表内自环，路由动荡，接口频繁Up/Down。
2、对于IPSecVPN，若一端公网地址固定，一端公网地址不固定（如通过PPPoE拨号方式，或DHCP分配等），则需要采用野蛮模式，且公网地址不固定端需使用id-type name (默认是id-type ip)、remote name(ike local name默认是网关设备名称)和remote addess方式，IPSec流量触发为公网地址不固定一端主动触发。
对于v7设备，id-type name == identity fqdn；id-type ip == identity address；ike local name== ike identity fqdn。
2、对于IPSecVPN的NAT穿越功能，必须IKE对等体配置为野蛮模式，必须使用ESP封装方式（默认），不能用AH封装也不能AH+ESP，且IPSec的安全提议必须工作在隧道模式（默认），而不能为传输模式；隧道也由私网内部（藏在NAT后方）触发，在两端配置nat-traversal（v5需配置，v7默认）。
如果本网关也是NAT设备，则需要Deny掉IPSec的流防止NAT修改IPSec流导致IPSec失败（纯IPSec必须注意此项）。
4、对于总部多分支机构的情况下做IPSecVPN，总部端必须通过IPSec的安全模板来实现，然后在IPSec的安全策略中调用安全模板，安全模板中可以不定义匹配的安全ACL，此时IPSec的数据流触发为分支机构端单向触发。配置如：
ipsec policy 1 1 isakmp template 前一个1为策略名字，后一个1为结点号（顺序号）安全模板的意思就是自动配置IPSec ACL流配置。
5、可以通过dispaly ike sa和display ipsec sa来查看sa建立情况，在配置完成IPSec VPN后，一定要触发一下保护的流量（ping-a 源地址 目标地址），若清除sa，顺序应为先reset ipsec sa，然后再reset ike sa。

IPSEC Over GRE好

支持IPSEC Over GRE

、 GRE over IPSEC：ipsec中acl匹配的是tunnle流，源和目的是隧道的源和目的

IPSEC over GRE：acl匹配的就是业务流

2、 GRE over IPSEC：ike对等体中remote-address地址是对方公网口的物理地址

IPSEC over GRE：ike对等体中remote-address地址是对方tunnel接口地址

3、 GRE over IPSEC：ipsec policy应用在本地物理接口上

IPSEC over GRE：ipsec policy应用在本地tunnel接口上

4、 对于IPSEC ×××，若一端公网地址固定，一端公网地址不固定（如通过PPPOE拨号方式），则两端IKE对等体需配置为野蛮模式，且公网地址不固定端需使用remote name和remote addess方式，IPSEC流量触发为有固定公网地址端单向触发；

5、 对于IPSEC ×××的NAT穿越功能，必须IKE对等体配置为野蛮模式，且ipsec的安全提议必须工作在隧道模式（默认），而不能为传输模式；

6、 对于总部多分支机构的情况下做IPSEC ×××，总部端可以通过IPSEC的安全模板来实现，然后在IPSEC的安全策略中调用安全模板，安全模板中可以不定义匹配的安全ACL，此时IPSEC的数据流触发为分支机构端单向触发。

7、可以通过dispaly ike sa和dispaly ipsec sa来查看sa建立情况，在配置完成IPSEC ×××后，一定要触发一下保护的流量（ping命令），若清除sa，顺序应为先reset ipsec sa，然后再reset ike sa

IPSEC Over GRE比较GRE Over IPSEC各有所长

IPSEC Over GRE比较GRE Over IPSEC 其实都不太了解