隧道技術概述：
　　
　　一種技術（協議）或者策略的兩個或多個子網穿過另一種技術（協議）或者策略的網絡實現互聯，稱之為overlay topology，這一技術是電信技術的永恒主題之一。
　　
　　電信技術在發展，多種網絡技術并存，一種技術的網絡孤島可能需要穿過另一種技術的網絡實現互聯，這種情況如果發生在高層協議的PDU封裝于低層協議PDU中時通常稱之為復用，特別地三層PDU穿過二層網絡地技術稱為租用鏈路或虛電路；而如果穿越發生在一種協議PDU封裝在同一層協議的PDU中，或者封裝在高層協議的PDU中時，人們通常稱之為隧道。
　　
　　隧道提供了一種某一特定網絡技術的PDU穿過不具備該技術轉發能力的網絡的手段，如組播數據包穿過不支持組播的網絡；另一種情況是有時因為管理策略的原因，一個管理者（策略）的子網不能通過和另一個管理者（策略）的網絡互聯而連接，而是要穿過另一個管理者（策略）的網絡實現連接，這就是所謂的VPN（VirtualP rivate Networks），不管是L2VPN還是L3VPN都需要利用隧道技術實現。因此隧道某種意義上可以概括為穿越不同的網絡的技術，不同既可以是技術方面的，也可以是管理策略方面的。
　　
　　隧道可以作為一個虛擬接口來實現。隧道接口并不特定的“乘客”或“傳輸”協議連接，而是一種結構，可以實現任何標準點到點封裝的服務。由于隧道是點到點連接，因此對每個連接必須配置一個單獨的隧道。
　　
　　GRE是一種應用較為廣泛的一種網絡層協議PDU封裝于任一種網絡層協議PDU中的技術，經常被用來構造GRE隧道穿越各種三層網絡，并得到了大多數電信設備廠商的支持。
　　
　　GRE(通用路由協議封裝）是由Cisco和Net-smiths等公司于1994年提交給IETF的，標號為RFC1701和RFC1702。目前有多數廠商的網絡設備均支持GRE隧道協議。GRE規定了如何用一種網絡協議去封裝另一種網絡協議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義，允許用戶使用IP包封裝IP、IPX、AppleTalk包，并支持全部的路由協議（如RIP2、OSPF等）。通過GRE，用戶可以利用公共IP網絡連接IPX網絡、AppleTalk網絡，還可以使用保留地址進行網絡互連，或者對公網隱藏企業網的IP地址。
　　
　　封裝后一個GRE數據包的格式如下：

　　
　　----GRE在包頭中包含了協議類型，這用于標明乘客協議的類型；校驗和包括了GRE的包頭和完整的乘客協議與數據；密鑰用于接收端驗證接收的數據；序列號用于接收端數據包的排序和差錯控制；路由用于本數據包的路由。
　　
　　----GRE只提供了數據包的封裝，它并沒有加密功能來防止網絡偵聽和攻擊。所以在實際環境中它常和IPsec在一起使用，由IPsec提供用戶數據的加密，從而給用戶提供更好的安全性。
　　
　　GRE協議的主要用途有兩個：企業內部協議封裝和私有地址封裝。在國內，由于企業網幾乎全部采用的是TCP/IP協議，因此在中國建立隧道時沒有對企業內部協議封裝的市場需求。企業使用GRE的*理由應該是對內部地址的封裝。當運營商向多個用戶提供這種方式的VPN業務時會存在地址沖突的可能性。
　　
　　路由封裝(GRE)zui早是由Cisco提出的，而目前它已經成為了一種標準，被定義在RFC1701,RFC1702,以及RFC2784中。簡單來說，GRE就是一種隧道協議，用來從一個網絡向另一個網絡傳輸數據包。
　　
　　如果你覺得它和虛擬網（VPN）有些類似，那只是因為：從技術上講，GRE隧道是某一類型的VPN，但是并不是一個安全隧道方式。不過你也可以使用某種加密協議對GRE隧道進行加密，比如VPN網絡中常用的IPSec協議。
　　
　　實際上，點到點隧道協議（PPTP）就是使用了GRE來創建VPN隧道。比如，如果你要創建MicrosoftVPN隧道，默認情況下會使用PPTP，這時就會用到GRE。
　　
　　為什么要用GRE?
　　
　　為什么要使用GRE進行隧道傳輸呢？原因如下：
　　
　　有時你需要加密的多播傳輸。GRE隧道可以像真實的網絡接口那樣傳遞多播數據包，而單獨使用IPSec，則無法對多播傳輸進行加密。多播傳輸的例子包括OSPF,EIGRP,以及R*2。另外，大量的視頻、VoIP以及音樂流程序使用多播。
　　
　　你所采用的某種協議無法進行路由，比如NetBIOS或在IP網絡上進行非IP傳輸。比如，你可以在IP網絡中使用GRE支持IPX或AppleTalk協議。
　　
　　你需要用一個IP地址不同的網絡將另外兩個類似的網絡連接起來。
　　
　　如何配置GRE隧道？
　　
　　在Cisco路由器上配置GRE隧道是一個簡單的工作，只需要輸入幾行命令即可實現。以下是一個簡單的例子。
　　
　　路由器A:
　　
　　interface Ethernet0/1
　　
　　ipaddress10.2.2.1255.255.255.0
　　
　　interface Serial0/0
　　
　　ipaddress192.168.4.1255.255.255.0
　　
　　interface Tunnel0
　　
　　ipaddress1.1.1.2255.255.255.0
　　
　　tunnelsource Serial0/0
　　
　　tunneldestination192.168.4.2
　　
　　路由器B:
　　
　　interface Fast Ethernet0/1
　　
　　ipaddress10.1.1.1255.255.255.0
　　
　　interface Serial0/0
　　
　　ipaddress192.168.4.2255.255.255.0
　　
　　interface Tunnel0
　　
　　ipaddress1.1.1.1255.255.255.0
　　
　　tunnelsource Serial0/0
　　
　　tunneldestination192.168.4.1
　　
　　在這個例子中，兩個路由器均擁有虛擬接口，即隧道接口。這一接口屬于各自的網絡，就好像一個點到點的T1環路。跨越隧道網絡的數據采用串行網絡方式傳輸。
　　
　　對于每個路由器都有兩種途徑將數據傳遞到另一端，即通過串行接口以及通過隧道接口（通過隧道傳遞數據）。該隧道可以傳輸非路由協議的數據，如NetBIOS或AppleTalk。如果數據需要通過互聯網，你可以使用IPSec對其進行加密。
　　
　　從下面的信息反饋可以看出，路由器B上的隧道接口和其他網絡接口沒有什么不同：

　　
　　解決GRE隧道的問題：
　　
　　由于GRE是將一個數據包封裝到另一個數據包中，因此你可能會遇到GRE的數據報大于網絡接口所設定的數據包zui大尺寸的情況。解決這種問題的方法是在隧道接口上配置iptcpadjust-mss1436。另外，雖然GRE并不支持加密，但是你可以通過tunnelkey命令在隧道的兩頭各設置一個密鑰。這個密鑰其實就是一個明文的密碼。由于GRE隧道沒有狀態控制，可能隧道的一端已經關閉，而另一端仍然開啟。這一問題的解決方案就是在隧道兩端開啟keepalive數據包。它可以讓隧道一端定時向另一端發送keepalive數據，確認端口保持開啟狀態。如果隧道的某一端沒有按時收到keepalive數據，那么這一側的隧道端口也會關閉。