IPsec上でGRE(Generic Routing Encapsulation)を動作させる技術。

IPsecでトンネリングと暗号化機能が備わっているが、ユニキャストでの伝送できない。

つまりマルチキャストは伝送できない。

要件によっては、マルチキャストも伝送したい場合がある。

例えば拠点間でダイナミックルーティング(OSPF, EIGRPなど)を動作させたい場合。

細かい話は割愛するが、OSPFもEIGRPもマルチキャストが動作することが前提です。

※(例)Helloパケットなど

1対1の拠点間接続ならば、ダイナミックルーティングは必要ない(スタティック等)可能性もあるが、複数の拠点間との接続の場合はダイナミックルーティングを使用する可能性が高い。

ではマルチキャストを動作させたい場合は何を使用するか。

それがGREになります。

GREはマルチキャストを伝送できるトンネリング技術だが、暗号化はできない。

IPsecはマルチキャストを伝送できないトンネリング技術だが、暗号化はできる。

それぞれのいい所取りをしたのがGRE over IPsecになる。

説明は以上になります。

GRE over IPsecは複数の拠点間との接続に使用されることが多いと書いたが、

仮にフルメッシュ構成をしている場合、その拠点数に応じてコンフィグを投入する必要があり、これは非常に大変だし管理が煩雑になります。

またハブアンドスポーク構成の場合は、必ずハブ経由の通信となると遅延の原因にもなるし、何よりハブの負担が大きい。

フルメッシュ構成、ハブアンドスポーク構成でも、サイト間のVPNを構築しようとすると、

それぞれ何かしらのデメリットがあることは分かったと思います。

そういった特の解決策としてDMVPN(Dynamic Multipoint VPN)があります。

それは次回以降の投稿で紹介します。以上