// シス担のミカタ
VPN

GRE(Generic Routing Encapsulation) じーあーるいー

トンネリングカプセル化VPNIPsecルーティングオーバーレイネットワーク
GREについて教えて

簡単に言うとこんな感じ!

GREは「手紙を別の封筒に入れて送る」技術だよ!ネットワークのパケットをまるごと別のパケットで包んで(カプセル化して)、ルーターを越えて届けられるようにするトンネリングプロトコルなんだ。VPNの「通路」を作るときによく使われてるよ!

GREとは

GRE(Generic Routing Encapsulation) は、あるネットワークプロトコルのパケットを別のプロトコルのパケットで包み込む(カプセル化する)トンネリングプロトコルです。シスコが開発し、現在はIETFの標準として広く使われています。「Generic(汎用)」という名の通り、IPv4・IPv6・AppleTalkなど多様なプロトコルを包んで運ぶことができます。

GREの最大の特徴は、ルーターを越えられないプライベートIPアドレスのパケットを、インターネット経由で届けられるようにすること。拠点間VPNや、BGPルーティング情報を遠隔地へ伝搬させる「GREトンネル」の構築に使われます。ただし、GRE単体では暗号化機能を持たないため、セキュリティが必要な場面では IPsec と組み合わせて使うのが一般的です。

実務では「GRE over IPsec」という構成が定番で、GREがトンネルの「形」を作り、IPsecが「鍵のかかった扉」を提供する役割分担になっています。

GREの仕組みと構造

GREは元のパケットを「カプセル(カプセル化)」して、新しいIPヘッダーとGREヘッダーを付けて送ります。

階層内容役割
外側IPヘッダートンネルエンドポイントのIPアドレスインターネット上での実際の宛先
GREヘッダープロトコルタイプ・チェックサムなど中身が何のプロトコルかを示す
内側IPヘッダー元のパケットのIPアドレス最終的な送受信者(プライベートIPも可)
ペイロード元のデータ実際に届けたいデータ本体
送信側ルーター                           受信側ルーター
┌─────────────────────────────────────────────────────┐
│ [外側IP] [GREヘッダー] [内側IP] [元データ]          │
│  ←─── インターネットを通過 ────────────────────→   │
└─────────────────────────────────────────────────────┘
         GREトンネル(仮想の通路)

覚え方:「GREは手紙を封筒に入れる人」

封筒(外側IP)の宛先は「郵便局(ルーター)」、中の手紙(内側IP)の宛先は「本当に届けたい相手」。郵便局は封筒だけ見て配達するけど、相手は中の手紙を読む——これがGREのカプセル化のイメージだよ!

GREヘッダーのフィールド構成

フィールドサイズ説明
Flags & Version2バイトチェックサム有無などのフラグ
Protocol Type2バイト内側パケットのプロトコル種別(IPv4なら0x0800)
Checksum(オプション)4バイトエラー検出用(省略可)
Key(オプション)4バイトトンネル識別子(省略可)
Sequence Number(オプション)4バイトパケット順序管理(省略可)

歴史と背景

  • 1994年 — シスコシステムズがGREを開発。異なるネットワーク間をつなぐ汎用トンネリング手法として提案
  • 1994年RFC 1701RFC 1702 として最初の仕様が公開
  • 2000年RFC 2784 で改訂版が標準化。現在の主流仕様
  • 2000年代 — IPsecとの組み合わせ(GRE over IPsec)が企業拠点間VPNの定番構成として普及
  • 2010年代SDNSD-WANの普及に伴い、オーバーレイネットワーク技術の基盤として再注目
  • 現在 — クラウド環境(AWS・Azureなど)でのハイブリッド接続でも利用され続けている

GRE・IPsec・L2TPとの比較

トンネリングプロトコルにはいくつか種類があります。用途に応じて使い分けが重要です。

プロトコル暗号化マルチキャスト対応主な用途
GRE❌ なし✅ ありルーティングプロトコル伝搬・拠点間トンネル
IPsec✅ あり❌ 基本なしセキュアなサイト間・リモートVPN
GRE over IPsec✅ あり✅ あり企業拠点間VPNの定番
L2TP/IPsec✅ あり❌ なしリモートアクセスVPN
VXLAN❌ 基本なし✅ ありデータセンター内オーバーレイ
GRE over IPsec の構成イメージ 拠点A 192.168.1.0/24 GREトンネル カプセル化 IPsec 暗号化・認証 インターネット グローバルIP で通過 🌐 拠点B 192.168.2.0/24 GREトンネル カプセル解除 IPsec 復号・検証 GRE GRE GREトンネル(仮想の通路) GREが「通路の形」を作り、IPsecが「暗号化の鍵」をかける

関連する規格・RFC

規格・RFC番号内容
RFC 1701GREの初版仕様(1994年、シスコ提案)
RFC 1702IPv4上でのGREトンネリング仕様
RFC 2784GREの改訂標準仕様(現在の主流)
RFC 2890GREのKey・Sequence Numberフィールド拡張
RFC 4023MPLS over GREのカプセル化仕様

関連用語

  • VPN — 仮想プライベートネットワーク。GREはVPNトンネルの実装手段のひとつ
  • IPsec — 暗号化・認証を行うプロトコル。GREと組み合わせてセキュアなトンネルを構成
  • トンネリング — パケットを別のパケットで包んで転送する技術の総称
  • カプセル化 — データに別のヘッダーを付けて包み込む処理
  • BGP — 拠点間でルーティング情報を交換するプロトコル。GREトンネル上で使われることが多い
  • VXLAN — データセンター向けオーバーレイネットワーク技術。GREの後継的な役割も担う
  • SD-WAN — ソフトウェア定義WANで、GREトンネルを内部的に活用することがある
  • L2TP — レイヤ2トンネリングプロトコル。リモートアクセスVPNでよく使われる