GREトンネル(Generic Routing Encapsulation)は、Cisco Systemsが1994年にRFC 1701/1702として公開した汎用カプセル化プロトコルです。2000年3月にはRFC 2784として再整理され、後にRFC 2890でキーとシーケンス番号の拡張が追加されました。GREヘッダの設計はわずか4バイト(必要に応じて拡張)と非常に軽く、任意のレイヤ3プロトコルをIPの上に運べる「シンプルさ」が特徴です。IPv6 over IPv4、マルチキャスト通過、DMVPNやMPLSの代替トンネル、SD-WANやSASEへのアップリンクなど、現代でも多用途で使われ続けるトンネル技術です。
この記事の目次
- GREヘッダの設計と動作
- 1994年RFC 1701からの歩み
- 現場での主な使い道
- IPsec・VXLAN・WireGuardとの位置関係
- まとめ
GREヘッダの設計と動作
GREのフォーマットは、外側にプロトコル番号47のIPヘッダを置き、その後ろに4バイトの基本GREヘッダ、さらに内側に元パケット(IPv4・IPv6・MPLS・Ethernetなど任意)が続く構造です。基本ヘッダはフラグ・バージョン・Protocol Typeから構成され、Protocol TypeはEthertypeと同じ値の体系を使って中身のプロトコルを示します。オプションでチェックサム、Key(トンネル識別子)、Sequence Number、Routingといったフィールドを追加できる柔軟性があります。
GREは暗号化や認証を提供せず、純粋にカプセル化のみを担当する設計です。そのため、機密性が必要な場合はIPsecと組み合わせて「GRE over IPsec」として使うのが定石となっています。Tunnel Modeで全体を保護するか、Transport ModeでGREパケットを保護するかは構成次第ですが、CiscoのDMVPNやFlexVPN、JuniperのMPLS-in-GRE、Linuxのip tunnelコマンドなどではGREの「軽さ」と「マルチキャスト透過」の利点を活かしながら、暗号化はIPsecに任せる役割分担が広く行われています。
1994年RFC 1701からの歩み
GREは1994年10月、Cisco Systemsのスタンレー・ハンクス氏らが筆頭著者となってRFC 1701(GRE一般仕様)とRFC 1702(IPv4上GRE)として公開しました。当時、AppleTalk・IPX・DECnetといった非IPプロトコルをIPバックボーン経由で結ぶ需要が大きく、汎用的なカプセル化として急速に普及しました。2000年3月のRFC 2784では仕様が簡潔に整理され、現代の実装はこちらを基準にしています。
2000年9月のRFC 2890ではKeyとSequence Numberのオプション拡張が定義され、トンネル多重化と順序保証が可能になりました。2003年のRFC 3378でEthernet over GRE、2010年代以降はNVGRE(RFC 7637, MicrosoftによるGREベースのデータセンタオーバレイ)など派生仕様も登場しています。Cisco DMVPN(Dynamic Multipoint VPN)はマルチポイントGRE(mGRE)とNHRP・IPsecを組み合わせた構成で、企業のフルメッシュVPNの定番ソリューションになりました。近年はSD-WANベンダーが自社プロトコルとの相互接続にGREを使うほか、Cloudflare Magic Transitなどのアンチ-DDoSサービスへのオンランプにもGREトンネルが標準的に利用されています。
現場での主な使い道
GREトンネルの代表的な用途として、まずIPv6 over IPv4があります。IPv6が普及途上の時代、IPv4だけの中継網を通してIPv6パケットを運ぶための手段としてGREトンネルが多用され、6in4の手段の一つとして広く採用されました。マルチキャスト通過も重要で、IPsecだけではマルチキャストを通せないため、GREでマルチキャストを包み、その上をIPsecで暗号化するという定番パターンが今も使われています。PIM(Protocol Independent Multicast)のシグナリングや、ルーティングプロトコルのHelloパケットをVPN越しに流す場面で活躍します。
Cisco DMVPNでは、ハブルータがmGREインターフェースで全スポークを束ね、NHRPで動的にスポーク間通信を確立する設計を取ります。従来はハブ経由でしか通信できなかったスポーク間トラフィックを、DMVPNでは直接結ぶことができ、大幅に効率化されました。MPLSバックボーンの延伸用途では、MPLS-in-GRE(RFC 4023)が異なる事業者やキャリアエッジ機能のない区間をまたぐ手段として使われます。Cloudflare Magic Transit、Akamai Prolexicといったクラウド型DDoS対策サービスへの接続も、ユーザーのオリジンへGREトンネルを張る方式が主流です。
IPsec・VXLAN・WireGuardとの位置関係
IPsecは暗号化と認証を主目的とし、VPN・サイト間接続で標準的に使われます。ただしマルチキャストを直接運べない・ヘッダオーバーヘッドがやや大きいといった制約があり、機能の豊富さと引き換えに「軽さ」では劣ります。GREは暗号化を持たない代わりに、ヘッダが4バイトと小さく、任意プロトコルとマルチキャストを透過的に通せる強みがあります。
VXLAN(RFC 7348)はL2 over L3のオーバレイ用で、UDP/4789で動作するためGREよりNAT越え・ECMPに強い設計です。GREもECMPに対応する場合は内部キーやチェックサムをハッシュに使うベンダー拡張がありますが、UDP/TCPのポート分散ほど自然ではありません。WireGuardは2017年以降の新世代軽量VPNで、暗号化と性能を兼ね備えていますが、対応機器の広さや既存資産との互換性ではGREや旧来トンネルが優位です。結局のところ、GREは「シンプルさを最大化したカプセル化」として、現代でも数多くのトンネル基盤(DMVPN・MPLS延伸・Magic Transit等)で土台に使われ続けています。
まとめ
GREトンネルは1994年のRFC 1701/1702で公開され、2000年のRFC 2784/2890で再整理されたCisco発の汎用カプセル化プロトコルです。4バイトの軽量ヘッダで任意のレイヤ3プロトコルをIPの上に運べる設計が、IPv6移行・マルチキャスト通過・DMVPN・MPLS延伸など多様な用途を支えています。IPsec・VXLAN・WireGuardといった現代の選択肢と棲み分けつつ、Cloudflare Magic Transitのような新サービスへのオンランプとしても引き続き重要な技術です.
※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。
コメント