IPSec VPN用于在两个端点之间提供安全的IP通信，但只能加密并传播单播数据，无法加密和传输语音、视频、动态路由协议信息等组播数据流量。

通用路由封装协议GRE（Generic Routing Encapsulation）提供了将一种协议的报文封装在另一种协议报文中的机制，是一种隧道封装技术。GRE可以封装组播数据，并可以和IPSec结合使用，从而保证语音、视频等组播业务的安全。

GRE用来对某些网络层协议如IPX（Internet Packet Exchange）的报文进行封装，使这些被封装的报文能够在另一网络层协议（如IP）中传输。GRE可以解决异种网络的传输问题。

IPSec VPN技术可以创建一条跨越共享公网的隧道，从而实现私网互联。IPSec VPN能够安全传输IP报文，但是无法在隧道的两个端点之间运行RIP和OSPF等路由协议。GRE可以将路由协议信息封装在另一种协议报文（例如IP）中进行传输。

GRE封装报文时，封装前的报文称为净荷，封装前的报文协议称为乘客协议，然后GRE会封装GRE头部，GRE成为封装协议，也叫运载协议，最后负责对封装后的报文进行转发的协议称为传输协议。

GRE封装和解封装报文的过程如下：

1. 设备从连接私网的接口接收到报文后，检查报文头中的目的IP地址字段，在路由表查找出接口，如果发现出接口是隧道接口，则将报文发送给隧道模块进行处理。

2. 隧道模块接收到报文后首先根据乘客协议的类型和当前GRE隧道配置的校验和参数，对报文进行GRE封装，即添加GRE报文头。

3. 然后，设备给报文添加传输协议报文头，即IP报文头。该IP报文头的源地址就是隧道源地址，目的地址就是隧道目的地址。

4. 最后，设备根据新添加的IP报文头目的地址，在路由表中查找相应的出接口，并发送报文。之后，封装后的报文将在公网中传输。

5. 接收端设备从连接公网的接口收到报文后，首先分析IP报文头，如果发现协议类型字段的值为47，表示协议为GRE，于是出接口将报文交给GRE模块处理。GRE模块去掉IP报文头和GRE报文头，并根据GRE报文头的协议类型字段，发现此报文的乘客协议为私网中运行的协议，于是将报文交给该协议处理。

GRE配置：

interface tunnel interface-number命令用来创建Tunnel接口。创建Tunnel接口后，需要配置Tunnel接口的IP地址和Tunnel接口的封装协议。

tunnel-protocol命令用来配置Tunnel接口的隧道协议。

source { source-ip-address | interface-type interface-number }命令用来配置Tunnel源地址或源接口。

destination dest-ip-address命令用来指定Tunnel接口的目的IP地址。

在本端设备和远端设备上还必须存在经过Tunnel转发的路由，这样，需要进行GRE封装的报文才能正确转发。经过Tunnel接口转发的路由可以是静态路由，也可以是动态路由。配置静态路由时，路由的目的地址是GRE封装前原始报文的目的地址，出接口是本端Tunnel接口。

执行display interface Tunnel 0/0/1命令，可以查看接口的运行状态和路由信息。如果接口的当前状态和链路层协议的状态均显示为UP，则接口处于正常转发状态。隧道的源地址和目的地址分别为建立GRE隧道使用的物理接口的IP地址。