GRE在RFC1701/RFC1702中定义,它规定了怎样用一种网络层协议去封装另一种网络层协议的方法,GRE的隧道由其源IP地址和目的IP地址来定义。它允许用户使用IP去封装IP、IPX、AppleTalk并支持全部的路由协议,如RIP、OSPF、IGRP和EIGRP。通过GRE封装,用户可以利用公用IP网络去连接IPX网络、AppleTalk网络,和使用保留地址进行网络互联,或者对公网隐藏企业网的IP地址。
GRE只提供了数据包的封装,它没有加密功能来防止网络侦听和攻击。所以在实际环境中它常和IPSec在一起使用,由IPSec提供用户数据的加密,给用户提供更好的安全性。
标准的GRE在虚拟通道中的数据是没有进行加密传输的,一旦数据被截获,重要数据将有失密的危险。而与GRE相比,IPSec只能进行通道内的数据加密,无法在Internet上建立虚拟的通道互连,使异地的两个局域网像访问本地网一样方便;也无法在加密的数据连接上跑路由协议,网络管理很不方便。所以 GRE+IPSec联合应用方式,成为实际中VPN建网的首选。
但标准GRE需要建立隧道的两端设备的IP地址固定,这就要求隧道两端的设备都是采用类似专线的线路进行互连,一旦某一端是 PSTN/ISDN/ADSL/VDSL接入的话,由于接入端IP地址不固定,将无法建立连接。
[ Last edited by config on 2005-4-29 at 09:34 ]
