为什么IPsec不支持多播/广播？

Question

许多源站点GRE支持广播/多播和IPsec不支持。GRE和IPsec都只是隧道协议。因此，隧道协议本身并不能阻止多播/广播。

，对于不允许多播/广播流量通过隧道的IPsec，具体是什么？

与之相比，也可能有助于回答: GRE具体是什么允许多播/广播的？

Answer 1

GRE和IPsec并不是一对多的技术。因此，组播/广播没有多大的意义。尽管如此，在任何一个系统中都有推动组播的方法--发送方和接收方--但是很少有系统真正支持它。建立多播路由要容易得多，也不那么麻烦。

(当使用隧道接口(即路由接口)时，情况就更正确了。

Answer 2

IPSec工作在隧道和运输模式。在传输模式中，在两个端点之间建立安全关联。要建立“多点”SA，需要一种不同的身份验证和加密机制。

我认为委员会认为广播交通网络不够重要，不足以为多点安全协会创建一个单独的机制。当前的实现，如GETVPN、FlexVPN和DMVPN都需要额外的组件来交换和管理密钥。