多方原因?qū)е翴PSec VPN無法支持動態(tài)路由。

2、 GRE over IPSec 、IPSec over GRE和SVTI的區(qū)別

2.1 GRE over IPSec

首先前兩種技術(shù)從名字中就能看出，GRE over IPsec是將GRE數(shù)據(jù)報文封裝在IPSec的封裝中進行傳輸?shù)?，如下圖：

gre over ipsec流量傳輸模型

數(shù)據(jù)報文封裝如下圖：

gre over IPsec 報文封裝格式

由上圖能夠看出GRE over IPSec使用隧道模式時多封裝了一次IP的頭部，增加了20字節(jié)的報文載荷，所以使用GRE over IPSec時，IPSec建議使用傳輸模式。

2.2 IPSec over GRE

IPSec over GRE是將IPSec數(shù)據(jù)報文封裝在GRE的報文進行傳輸?shù)?，如果使用動態(tài)路由協(xié)議，路由更新報文是明文傳輸且不安全的，而且因為IPSec VPN通過GRE虛擬隧道傳輸，所以無論設(shè)置隧道模式還是傳輸模式均協(xié)商為隧道模式，與GRE造成了重復封裝，減小了數(shù)據(jù)報文的數(shù)據(jù)載荷容量，所以現(xiàn)實情況中很少有使用到IPSec over GRE。

流量傳輸如下圖：

IPsec over gre 流量傳輸模型

數(shù)據(jù)報文封裝如下圖：

IPSec over gre封裝格式

2.3 SVTI

SVTI，靜態(tài)虛擬隧道接口，該功能可以為IPSec VPN創(chuàng)建一個虛擬的隧道接口，此虛擬接口上不使用GRE技術(shù)，所以可以比GRE over IPSec方式減少4個字節(jié)的GRE報文頭部，降低了發(fā)送加密數(shù)據(jù)的帶寬。由于有了虛擬接口，所以可以直接在虛擬接口上啟用動態(tài)路由協(xié)議了。

下圖為SVTI流量傳輸圖：

SVTI流量傳輸模型

SVTI可以不用設(shè)置IPSec VPN的感興趣數(shù)據(jù)流，只要將需要安全加密傳輸?shù)牧髁客ㄟ^路由協(xié)議導向到IPSec虛擬隧道接口即可實現(xiàn)數(shù)據(jù)的安全隧道傳輸。

SVTI由于沒有使用GRE技術(shù)，所以數(shù)據(jù)報文封裝與傳統(tǒng)IPSec VPN相同。

以上內(nèi)容均為本人對所掌握知識的總結(jié)歸納所創(chuàng)作的原創(chuàng)文章，希望能給大家的學習過程帶來幫助，如有技術(shù)理解錯誤希望能夠得到大家的及時指正，大家共同學習，共同進步。

歡迎關(guān)注我的頭條號，私信交流，學習更多網(wǎng)絡(luò)技術(shù)！