Tweet
các kỹ thuật đóng gói (encapsulation) trong các chế độ truyền tải và đường hầm của GRE và IPSec, được sử dụng phổ biến trong thiết kế mạng VPN, SD-WAN và các mô hình bảo mật mạng hiện đại.
🔍 1. Gói IP gốc (Plain IP Packet)
Đây là gói gốc chưa qua đóng gói:
🚧 2. GRE Tunneling (Generic Routing Encapsulation)
GRE là một giao thức đường hầm lớp 3, đóng gói toàn bộ gói IP cũ vào trong một gói IP mới, dùng Protocol số 47.
📝 Nhận xét:
🔐 3. IPSec Transport Mode
Transport mode chỉ mã hóa phần Payload của gói IP gốc, còn IP Header gốc vẫn giữ nguyên để định tuyến.
✅ Ưu điểm:
🛑 Lưu ý:
🛡️ 4. IPSec Tunnel Mode
Tunnel mode mã hóa toàn bộ gói IP gốc, và đóng gói bằng một IP Header mới.
=> Gói hoàn toàn được mã hóa và xác thực, bao gồm cả IP Header gốc.
✅ Ưu điểm:
📦 So sánh tổng thể
📌 Ví dụ thực tế:
🔍 1. Gói IP gốc (Plain IP Packet)
Đây là gói gốc chưa qua đóng gói:
- IP HDR (Header): tiêu đề IP gốc, 20 bytes.
- IP Payload: dữ liệu được truyền.
🚧 2. GRE Tunneling (Generic Routing Encapsulation)
GRE là một giao thức đường hầm lớp 3, đóng gói toàn bộ gói IP cũ vào trong một gói IP mới, dùng Protocol số 47.
- Gói IP gốc được đóng gói lại bằng cách:
- Thêm một GRE Header (4 bytes)
- Thêm một IP Header mới ở ngoài cùng (20 bytes)
- Ứng dụng thực tế: dùng để tạo đường hầm xuyên NAT, chuyển multicast, hoặc kết hợp với IPSec để bảo mật.
📝 Nhận xét:
- GRE không mã hóa, không bảo mật.
- Rất linh hoạt, hỗ trợ nhiều giao thức khác nhau bên trong (IPv4, IPv6, IPX...).
🔐 3. IPSec Transport Mode
Transport mode chỉ mã hóa phần Payload của gói IP gốc, còn IP Header gốc vẫn giữ nguyên để định tuyến.
- Thêm:
- ESP Header trước Payload (Encrypted)
- ESP Trailer + ESP Auth sau Payload (Encrypted + Authenticated)
- Kích thước mở rộng:
- ESP Header: ~8 bytes
- ESP Trailer + Auth: ~22 bytes (tùy thuật toán)
✅ Ưu điểm:
- Ít overhead nhất
- Dùng khi 2 thiết bị đầu cuối giao tiếp trực tiếp (host-to-host)
🛑 Lưu ý:
- Không giấu IP gốc (không bảo vệ metadata)
- Không thích hợp cho NAT
🛡️ 4. IPSec Tunnel Mode
Tunnel mode mã hóa toàn bộ gói IP gốc, và đóng gói bằng một IP Header mới.
- Thêm:
- IP Header mới: 20 bytes
- ESP Header trước gói gốc
- ESP Trailer + Auth sau gói gốc
=> Gói hoàn toàn được mã hóa và xác thực, bao gồm cả IP Header gốc.
✅ Ưu điểm:
- Bảo mật hoàn toàn (ẩn danh IP gốc, bảo vệ metadata)
- Thích hợp cho site-to-site VPN, hoặc SD-WAN overlay tunnel
📦 So sánh tổng thể
| GRE | ❌ | ✔️ | Trung bình (~24 bytes) | MPLS over GRE, multicast tunnel |
| IPSec Transport | ✔️ | ❌ | Thấp (~30 bytes) | Host-to-host VPN |
| IPSec Tunnel | ✔️ | ✔️ | Cao hơn (~50+ bytes) | Site-to-site VPN, SD-WAN |
📌 Ví dụ thực tế:
- GRE over IPSec: Kết hợp tính linh hoạt của GRE (hỗ trợ multicast) và bảo mật của IPSec. Phổ biến trong SD-WAN truyền thống (như Cisco vEdge).
- IPSec Tunnel Mode: Dùng trong mô hình VPN truyền thống, kết nối site-to-site giữa chi nhánh và trung tâm dữ liệu.
- IPSec Transport Mode: Trong nội bộ hệ điều hành, ví dụ: Windows VPN client kết nối tới server, mã hóa chỉ phần Payload.