Мені потрібно побудувати простий тунель "точка-точка" для з'єднання офісу через область мережі, якій ми довіряємо, але безпосередньо не контролюємо. Чи потрібно тунель бути капсульованим GRE або я можу використовувати прямий IP-в-IP? (Ми не будемо використовувати IPsec для цієї конкретної реалізації.)
Відповіді:
Будь-який метод буде працювати. Я особисто віддаю перевагу GRE, але між ними не повинно бути жодної практичної різниці. (Однак GRE може транспортувати інші протоколи layer3, ніж просто IP).
Єдине, що потрібно пам’ятати, це те, що GRE має невеликі шматочки додаткових накладних витрат на відміну від IPinIP.
Варто також врахувати, як тунелювання впливає на шлях MTU. Ідеально було б для інфраструктури між кінцевими точками тунелю підтримувати більшу MTU. Це дозволить уникнути проблем з фрагментацією та зламаною pmtud.
Запуск тунелю через GRE має додаткову перевагу від того, що він є досить протокольним-агностичним, тому ви, звичайно, можете використовувати його для IPv6 пізніше.
Однак, з урахуванням сказаного, однаково нічого не заважає працювати 6in4 або ip6ip6 поряд з ipip, тому питання дійсно зводиться до того, чи є для вас відчутний виграш, вибравши GRE і використовуючи його для мультипротоколу.
Якщо ви плануєте завантажити посилання на повну потужність - перейдіть з IPinIP. Інакше - GRE.