- PR -

トンネリングプロトコルについて

1
投稿者投稿内容
よ→いち
会議室デビュー日: 2008/07/16
投稿数: 5
投稿日時: 2008-09-10 10:42
ご存知の方教えてください。

トンネリングプロトコルとして、IPIP と GRE の機能的な違いってあるのでしょうか?
Cisco のルータ同士の接続であれば基本的に GRE を使ってトンネリングしてるのですが、YAMAHA や Linux の場合はよく IPIP でトンネリングすると聞きます。
しかし、Cisco も IPIP が使えないわけではないし、何か違いがあるのかと思った次第です。

よろしくお願いします。
よ→いち
会議室デビュー日: 2008/07/16
投稿数: 5
投稿日時: 2008-09-11 13:18
自己レスです。

IP in IP Tunneling
http://www.ietf.org/rfc/rfc1853.txt

Generic Routing Encapsulation (GRE)
http://www.ietf.org/rfc/rfc2784.txt

を見比べてみると、機能的な違いとしては

IPIPはカプセル化できるプロトコルとして IP しかサポートしていない。
それに対して GRE では Layer3 のプロトコルであれば、IPX や AppleTalk などもカプセル化することが出来る、と言ったところでしょうか。

文字通り IPIP より GRE のほうがより汎用的に使えると言うことですかね。。。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2008-09-12 12:30
あまりメジャーな方式じゃない気がしたんで少々調べてみました。

学習なら良いのですが、どちらかを採用してVPNの構築を考えているなら
セキュリティに注意が必要だと感じました。

どっちもルート情報を秘匿しているだけですから、通信本文はそのまま
(暗号化されない状況)です。
# 但し「通信経路上でトレースすれば通信本文は丸見えという状況」を気に
# しなければ問題ではありません。
# まあ厳密に言えばキャリアの通信サービスにも同様のことが言えますから。

遠隔拠点間のInternetVPNなら通信本文の暗号化機能があるIPsecがお勧め
だし、モバイル環境からのアクセスならSSL方式です。
# SSLならばこうしたリスクへの対応も確実に行う必要はあります。

蛇足ですが、GREの方はIPsecと組み合わせてDynamic rootingの実現に利用
されている事例はあります。
# IPsec over GREで検索かけて見れば判ります。
よ→いち
会議室デビュー日: 2008/07/16
投稿数: 5
投稿日時: 2008-09-29 20:35
すいません、返信に気づかず放置しておりました

コメント頂きありがとう御座います。
ご指摘の通り、IPIP・GREいずれもトンネリングの機能しか提供されないものですので、どちらの方法を採用するにしろ、トンネリングと暗号化は分けて考えないといけないとは思っておりました。

もともとはお客さんよりキャリアが提供する閉域網でわざわざ IPSec を使ってトンネリングすると言われて、そんなのやらなくても、暗号化要件が無ければ単なるトンネリングだけでいいんじゃないですかと言うことから端を発しておりますので

VPN構築については、
・トンネリング
・暗号化
・認証
・ルーティング
・拠点数
・LAN-to-LAN接続?クライアントPC接続?

など、考えないといけないことはたくさんありますが、今回、このトンネリングに関して周辺知識を増やせたのは良いことでした。

お心遣いありがとう御座いました。
1

スキルアップ/キャリアアップ(JOB@IT)