普通GRE协议隧道配置：GRE隧道与IPsec 隧道的异同

首先，我们了解以下四种常见的隧道协议:

1.第二层转发(L2F)

为支持虚拟专用拨号网络(VPDN)开发的隧道协议，思科专用拨号连接安全访问公司网络，已被L2TP取代。

2.点到点隧道协议(PPTP)

微软等厂商开发，使远程网络能够安全地将数据传输到公司网络。

3.第二层隧道协议(L2TP)

思科和微软联合开发，取代L2F和PPTP(功能集成)

4.选择封装通用路由(GRE)

思科专用，建立虚拟点到点链路，使IP隧道包装各种协议分组。

GRE(Generichroutinghencapsulation)通用路由封装是一种隧道协议，可以在IP隧道中封装各种网络层协议的分组，从而创建虚拟点到点链路。GRE隧道不提供加密服务，默认情况下以明确的方式离开，因此通常使用GRE通过IPsech隧道传输动态路由协议数据流。

GRE隧道的特点

一、传输(IP)报头。

二、GRE报头。

三、乘客协议(IP)分组。

GRE报头包含一个协议类型的字段，所以任何第三层协议的数据都可以通过隧道传输。GRE无状态，没有流量控制机制。GRE不提供任何安全机制。GRE会带来额外的费用，每组至少24个字节。

封装过程：

1.原始数据流根据路由表转发到tunnel。

2.根据tunnel的配置，封装为GRE数据流，然后GRE数据流与tunnel指定的source、destination地址形成新的IP报头GRE数据流。

3.新IP报头的GRE数据流将根据路由表转发到适应的出口。

4.出口时，新IP报头的GRE数据流与加密映射表的ACL相匹配，因此新IP报头的GRE数据流被封装在隧道内，然后形成数据流转发接口。

封装过程：

1.路由器收到数据流后判断为数据流，从而解封，然后获得带有新IP报头的GRE数据流。

2.新IP报头&quot；GRE数据流被转移到tunnel中，去新ip报头，然后打开GRE，获得原始数据流。

3.原始数据流根据路由表转移到目标出口，在此期间从tunnel出来。

tunnel(GRE隧道)与IPsec隧道不同。

1.两者都可以在原始IP数据流的情况下进行封装和异地传输。

2.tunnel在异地两端建立虚拟隧道接口，相当于在异地建立直接关系(可以建立邻居关系)，从而传输动态协议等数据流，tunnel数据流以明文方式传输；IPsec隧道没有虚接口，只传输单播而不传输多播和广播，使得许多路由协议无法建立邻居关系和传输路由更新封装是加密的，数据流以密文方式传输。

三、两者可独立使用，不受影响。但是通常两者结合使用，以支持所有的数据传输格式和安全性，即tunnel被封装到IPSec中。

微云网络&网络综合解决方案提供商帮助企业信息化建设、数字化转型和全球互联网。SD-WAN方案可以加速全球访问、SaaS访问、海外视频和海外分支网络，有效提高国际沟通效率，帮助中国企业开拓国际市场。…热线：400-028-9798，欢迎来电咨询。