‍

GRE隧道与IPsec隧道

可以使用GRE或IPsec协议封装数据包以在网络上安全传输。本技巧说明了每种协议在什么情况下效果最佳。

RFC 2784定义的通用路由封装(GRE)是一种简单的IP数据包封装协议。当IP数据包需要从一个网络发送到另一个网络，而没有被任何中间路由器解析或视为IP数据包时，则使用GRE。

例如，在移动IP中，移动节点向本地代理注册。当移动节点漫游到新网络时，它将在此向外部代理注册。每当发往移动节点的IP数据包被本地代理接收时，它们都可以通过GRE隧道中继到外部代理进行传递。本地代理和外部代理之间如何通信无关紧要-两者之间的跃点只是传递GRE数据包。只有GRE隧道终结点(两个代理)才实际路由封装的IP数据包。

RFC 2406定义的IP安全(IPsec)封装安全有效负载(ESP)也封装IP数据包。但是，这样做是出于不同的原因：使用加密保护封装的有效负载。IPsec ESP用于需要在两个系统之间交换IP数据包并同时防止其被窃听或修改的情况。

例如，在站点到站点VPN中，网络“ A”中的源主机发送IP数据包。当该数据包到达网络“ A”的边缘时，它将命中VPN网关。VPN网关“ A”对专用IP数据包进行加密，并通过ESP隧道将其中继到网络“ B”边缘的对等VPN网关。然后，VPN网关“ B”对数据包进行解密并将其传递到目标主机。像GRE一样，两个VPN网关之间如何通信并不重要，它们之间的跃点只是传递ESP数据包。但是，与GRE不同，即使跳了跃点的人也无法查看或更改封装的IP数据包。那是因为加密算法已被应用于加密IP数据包并检测任何修改或重放。

在需要无私密性的IP隧道的情况下使用GRE-更简单，更快。但是，在需要IP隧道和数据隐私的地方使用IPsec ESP，它提供了GRE甚至都没有尝试过的安全功能。

所以，

IPsec代表Internet协议安全性，而GRE代表通用路由封装。

IPsec是Internet的主要协议，而GRE不是。

GRE可以承载其他路由协议以及IP网络中的IP数据包，而IPSec无法。

与GRE相比，IPSec具有更高的安全性，因为它具有身份验证功能。