読み方 ： ジーアールイーオーバーアイピーセック

概要

GRE（Generic Routing Encapsulation）はパケットを別のパケットで包む「カプセル化」のプロトコルで、マルチキャストやブロードキャストを含む多様なプロトコルのトラフィックをトンネル経由で転送できる。一方、IPsecは通信を暗号化・認証するためのプロトコル群であり、データの盗聴や改竄を防ぐ機能を提供する。

IPsec単体ではマルチキャストを扱うことができないという制約があるが、GRE over IPsecを用いれば、GREトンネルでマルチキャストを含むあらゆるトラフィックをカプセル化することができる。そのGREパケット全体をさらにIPsecで暗号化するという二段構えの構造となる。OSPFやEIGRPといった動的ルーティングプロトコルがマルチキャストを使って経路情報を交換できるようになるため、大規模ネットワークにおける柔軟な経路制御が可能となる。

送信側では、まず元のパケットがGREヘッダで包まれ、次にそのGREパケット全体がIPsecによって暗号化される。受信側ではIPsecによる復号が行われ、続いてGREのカプセルが取り除かれて元のパケットが取り出される。この処理手順により、通信内容の機密性を保ちながら多様なプロトコルのトラフィックを安全に転送できる。

ネットワーク構成上、GREトンネルの端点（エンドポイント）とIPsecの端点が同一機器上に設定されることが多い。Cisco社製ルータなどのネットワーク機器ではこの構成が広くサポートされており、大企業などの拠点間VPN構築で標準的な選択肢の一つとなっている。二重のカプセル化によってパケットサイズが増加するため、MTU（最大転送単位）の調整には注意が必要である。

この記事の著者 ： (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。