【MVP交流】IPSEC Over GRE比较GRE Over IPSEC哪个更好？>>回帖有奖，欢迎与专家1v1交流！

MVP资料▷某公司最有价值专家（MVP）-吴红霞（←欢迎关注），北京区域SCSA金牌讲师，毕业于某公司。拥有多年培训讲师经验，进入某公司总代公司后，2年时间内实施交付多个项目。

本期想跟大家探讨"IPSEC Over GRE和GRE Over IPSEC，到底是IPSEC Over GRE好呢？还是GRE Over IPSEC好呢？"如果您对方面感兴趣，欢迎对本期话题进行探讨。如您有网络安全相关方面的问题或建议，欢迎回帖提问 !一起交流学习，精进技术！

---

背景介绍：

IPsec是如今十分主流的分支机构互联VPN协议，其本身强大的加密与验证功能保障了在互联网传递时私网数据的安全，但是面对当前多元化的访问需求，Ipsec VPN并不能满足客户对私网网段之间复杂的互访要求；在实际环境中，分隔两地的机构要求通过VPN隧道建立私网之间的路由邻居关系，而Ipsec VPN本身并不具备传递路由的能力，所以GRE over IPSEC技术应运而生。

与GRE over IPSEC相似的还有IPSEC over GRE，那到底这两种VPN到底是谁比较好用呢？

IPSEC Over GRE：即IPSEC在里，GRE在外。做法是把IPSEC的加密作用在Tunnel口上的，即在Tunnel口上监控是否有需要加密的数据流，有则先加密封装为IPSEC包，然后封装成GRE包进入隧道。

GRE Over IPSEC：即GRE在里，IPSEC在外。做法是在物理接口上监控，是否有需要加密的GRE流量，所有的这两个端点的GRE数据流将被加密分装为IPSEC包再进行传递。

---

本期圆桌话题围绕以下“2个问题”开展讨论：

讨论点1：IPSEC OVER GRE和 GRE OVER IPSEC配置上的区别？

讨论点2：IPSEC OVER GRE和GRE OVER IPSEC适用场景上的优势和劣势？

如果你也对这方面感兴趣，或有相关问题希望与我一起交流探讨，欢迎跟帖留言！我会不定期与大家互动交流

---

【讨论时间】2020年10月26日---2020年11月8日 23：59

---

【奖品设置】

1、基础回帖奖：凡有效回帖者可获得20S豆奖励；（回帖内容与话题相关且为个人原创）

2、优秀回复奖：凡回复的内容，被管理员设置为优秀回复即可获得100S豆打赏！

3、参与幸运奖：本帖设置800S豆回帖奖励，每次回复有机会获得20S豆；

4、最佳回复奖：活动结束后，由话题发起人评选出1位最佳回复者，赠送畅销书《互联网安全建设从0到1》1本（资深网络安全专家十余年实战经验的结晶，安全领域多位专家联袂推荐）

《互联网安全建设从0到1》好书推荐：

适读人群 ：1.网络安全技术人员、管理人员     2.网络应用开发人员

这是一本适合从安全小白到企业安全负责人阅读的安全书籍，作者将自己年丰富的安全经验融入此书，通俗易懂，雅俗共赏，既可作为安全工程师的工具手册，解决各类常见安全问题，也可以指导安全负责人如何从0到1系统地建设企业安全体系，非常值得推荐。

---

【参与规则】

1、回复须为个人原创且与话题相关，如回复无意义内容，管理员将判定为灌水，进行删除。

2、如恶意抄袭，以不良手段获取礼品行为，一经发现取消其获奖资格，并对账号进行1月以上禁言警示。

3、可盖楼回复但每个id回帖仅奖励一次，其他奖励可叠加，活动结束后将进行统一派发。

↓↓↓

欢迎大家回帖交流

如有上网行为管理相关的问题，欢迎留言提问

没找到哪台某公司设备支持GRE over IPSec或IPSec over GRE

IPSEC over GRE 比较好 ，应用在本地tunnel接口上, ,使用比较广泛。

当然是GRE Over IPSEC好！GRE封装可以让你的私有IP地址封装在全球可路由的 new IP header + GRE header,实现在不同site 之间的互联，但是GRE本身是明方式，所以需要IPSec来加密保护，一般用传输模式即可，因为是GRE接口，所以支持组播。常用的一般就是这种模式。

个人觉得GRE OVER IPSec 好
1.配置上的区别：                      GRE over IPsec                       IPsec over GRE
ACL定义：                             GRE数据流                             内网数据流
IKE Peer中指定的remote-address        对方公网地址                          对方GRE Tunnel地址
应用端口：                            公网出口                              GRE Tunnel上  
2.优劣势：GRE OVER IPSEC  优点利用GRE封装组播，广播非IP流量，弥补了IPSec传不了组播，广播非IP流量的劣势。
                IPSec over GRE    传输过程中路由协议流量是明文传输的，只有数据包被加密。

首先我们说一下IPSEC协议的具体功能：IPSec(IP Security)协议族是IETF 制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在 IP 层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。简单来说就是经过IPSEC访问的数据可以保障用户的数据安全性，GRE over IPSEC从名称来说GRE是在前面，可以理解封装的时候是在里面封装的，然后在封装IPSEC包转发，相似的还有IPSEC over GRE，反之就是GRE在外，IPSEC在里面封装之后再给GRE隧道转发，无非就是GRE和ipsec的过程区别

学习一下

IPSEC Over GRE即IPSEC在里，GRE在外。先把需要加密的数据包封装成IPSEC包，然后再扔到GRE隧道里。作法是把IPSEC的加密图作用在Tunnel口上的，即在Tunnel口上监控（访问控制列表监控本地ip网段-源i和远端ip网段-目的地），是否有需要加密的数据流，有则先加密封装为IPSEC包，然后封装成GRE包进入隧道（这里显而易见的是，GRE隧道始终无论如何都是存在的，即GRE隧道的建立过程并没有被加密），同时，未在访问控制列表里的数据流将以不加密的状态直接走GRE隧道，即存在有些数据可能被不安全地传递的状况。而GRE Over IPSEC是指，先把数据分装成GRE包，然后再分装成IPSEC包。做法是在物理接口上监控，是否有需要加密的GRE流量（访问控制列表针对GRE两端的设备ip），所有的这两个端点的GRE数据流将被加密分装为IPSEC包再进行传递，这样保证的是所有的数据包都会被加密，包括隧道的建立和路由的建立和传递。

什么时候公布专家的研究啊

区别应该不是很大吧，无非就是谁包谁，谁给谁加密