VPN隧道技術

“隧道”可以看成是從源端到目的端（統稱“隧道端點”）通過公共網絡的線路上專門建立的一條虛擬、專用通道，但通道所采用的線路仍是公共網絡中實際的線路。如圖1所示的是在Internet上構建VPN隧道的示意圖。

圖1 VPN隧道示意

不同VPN方案的VPN隧道起始、終結端點有所不同，有的隧道端點就是兩端的用戶主機，而有些隧道端點是兩端網絡的交換機、路由器、防火墻或應用層網關等設備。

VPN隧道是在公共網絡的物理通信線路上建立的，所以它的構建需要相應的技術來建立。當然，不同的VPN方案所采用的隧道技術不一樣。

目前主要有兩類隧道協議：一種是二層隧道協議，主要應用于構建遠程訪問虛擬專網（Access VPN，即VPDN），如PPTP VPN中采用的PPTP協議，L2TP VPN中采用的L2TP協議都屬于二層隧道技術。VLL、VPLS、PW3使用的二層隧道技術——MPLS L2VPN。

另一種是三層隧道協議，主要應用于構建企業內部虛擬專網（即Intranet VPN）和擴展的企業內部虛擬專網（即Extranet VPN），如IPSec VPN中采用的IPSec協議，GRE VPN 中采用的 GRE 協議，DSVPN 中采用的 m GRE（multipoint Generic Routing Encapsulation，多點通用路由封裝）協議，以及MPLS L3VPN中采用的MPLS L3VPN協議。

以上這些隧道技術都可看成各種通過使用Internet的基礎設施在網絡之間私密傳遞數據的方式。使用隧道傳遞的數據（或負載）可以是與物理線路上運行的不同協議的數據幀或數據包（如通過VPN隧道可以在IP網絡中傳輸ATM、FR數據幀，或IPX、Apple Talk數據包），隧道協議將這些其他協議的數據幀或數據包通過加裝隧道協議頭重新封裝后發送。

隧道協議的頭部提供了路由信息，從而使封裝的負載數據能夠通過IP網絡傳遞。隧道協議頭與其原始協議數據包一起傳輸，在到達目的地后原始協議數據包就會與隧道協議頭分離，對目的地有用的原始協議數據包就繼續傳輸到目的地址，而僅起到了一個標識信息的隧道協議頭將被丟棄，這樣它也就完成了它整個數據包傳送使命。

1. PPTP協議

PPTP最初是由包括微軟和當時的3Com等公司組成的PPTP論壇開發的一種點對點二層隧道協，用于Windows系統構建PPTP VPN隧道，后來IETF以RFC 2637正式發布，成為國際上通用的一種協議標準，可以構建端到端，或者站點到站點的VPN遠程連接，如圖2所示。

圖2 PPTP協議構建的兩種隧道

PPTP定義的呼叫控制和管理協議，允許服務器能夠控制來自PSTN或ISDN電路交換撥號的撥入訪問，或者發起帶外的電路交換連接。PPTP協議是將PPP數據幀通過使用增強的GRE機制封裝進IP數據包中，通過IP網絡（如Internet或其他企業專用Intranet等）發送。

PPTP協議允許PPP協議將原有的NAS（Network Access Server，網絡訪問服務器）功能獨立出來，采用C/S（客戶端/服務器）架構。PPTP服務器即PNS（PPTP Network Server，PPTP網絡服務器），PPTP客戶端即PAC（PPTP Access Concentrator，接入集中器）。

目前除了Windows系統主機可以發起PPTP VPN通信外，有些品版硬件設備，如TP-Link的一些路由器產品也可以發起PPTP VPN通信，故PAC可以是一臺用戶主機，也可以是路由器，華為交換機和路由器不支持發起PPTP VPN通信，基本上所有品牌設備均支持PPTP數據包的透明傳輸功能。

PPTP協議通信需要建立兩個PPTP連接。一是通過TCP協議進行的，在每個PAC-PNS對之間建立的控制連接，控制連接用來管理協商通信過程中的參數和進行數據連接的維護；二是在同一個PAC-PNS對之間建立的隧道連接（也稱“數據連接”），用于在PAC-PNS對之間的用戶會話傳輸由GRE封裝的PPP數據幀。

（1）控制連接簡介

在PAC和PNS間建立PPTP隧道之前，必須先在它們之間建立好控制連接。控制連接是一個標準的TCP會話，用于PPTP呼叫控制和管理信息通過。控制連接會話與PPTP隧道建立會話既關聯，又相互獨立。控制連接負責建立、管理和釋放通過隧道進行的會話，是向PNS通知關聯的PAC撥入呼叫，也用于指導PAC向外進行呼叫。

控制連接的建立可以由PNS或者PAC發起，PNS端所使用的端口是TCP 1723。控制連接建立在TCP連接基礎之上，PNS和PAC建立控制連接是通過交互Start-Control-Connection-Request和Start-Control-Connection-Reply消息完成的。一旦控制連接建立完成，PAC或者PNS可以對外發送呼叫請求，或者對撥入的呼叫請求進行響應，特定的會話可以由PAC或者PNS通過控制連接消息進行釋放。

控制連接是由它自己的保持激活回顯（keep-alive echo）消息進行維護的，這樣確保了PNS和PAC之間的連通性故障可以及時得到檢測。其他故障可以通過控制連接發送的廣域網錯誤通知（Wan-Error-Notify）消息進行報告。

（2）隧道連接簡介

PPTP 需要為每個 PNS-PAC對的通信建立專用的隧道。隧道是用于承載指定PNS-PAC對中所有用戶會話過程中由增強型GRE協議封裝的PPP數據包。在GRE報頭中有兩個密鑰（Key）字段，指示了一個PPP數據包所屬的會話，“Key”字段中的值是由控制連接上的呼叫建立流程進行賦值的。特定的PNS-PAC對間使用單一隧道對PPP數據包進行多路復用和解復用。

在PPTP協議中使用的增強型GRE頭與普通的GRE協議有所增強。主要的區別是增加了一個新的“確認號”（Acknowledgment Number）字段的定義，用來確定一個或一組特定的GRE數據包是否已到達隧道遠端，但此確認功能不用于任何用戶數據包的重傳。增強型GRE數據包頭部格式如圖3所示，各字段含義具體說明如下。

圖3 增強型GRE數據包頭部格式

C(Bit 0)：1位，當前是否存在“Checksum”（校驗和）字段，此處置0，表示無該字段。

R(Bit 1)：1位，當前是否存在“Routing”字段，此處置0，表示無該字段。

K(Bit 2)：1位，當前Key，此處置1，表示有“Key”字段。

S(Bit 3)：3位，當前序列號，如果存在負載則置1，如果沒有負載（GRE數據包僅用于確認），則置0。

s(Bit 4)：4位，當前限制路由源功能，此處置0，表示無路由源限制。

Recur (Bits 5-7)：3位，遞歸控制，用來表示GRE報文被封裝的層數。完成一次GRE封裝后將該字段加1。如果封裝層數大于3，則丟棄該報文。該字段的作用是防止報文被無限次的封裝。此處必須置0，表示數據包在此之前沒有經過GRE協議封裝。

A(Bit 8)：1位：確認號。如果GRE數據包中包含用于確認傳輸數據的確認號，則置1，否則置0。

Flags(Bits 9-12) ：4位，此處全部置0，沒有賦予特定的含義，相當于保留字段。

Ver(Bits 13-15) ：3位，此處置1，代表是增強型的GRE協議的版本號。

Protocol Type：16位，為固定值0x880B，對應增強型GRE協議類型。

Key Payload Length：Key的高2個字節，指示負載大小，不包括GRE頭。

Key Call ID：Key的低2個字節，包含在傳輸此數據包的會話中對端的Call ID。

Sequence Number：32位，負載的序列號，僅當S字段置1時有效，是數據包的序列號。會話啟動時，每個用戶會話的序列號設置為零。包含載荷（S字段置1）的每一個數據包都將被分配該會話中下一個連續的序列號。

Acknowledgment Number：32位，確認號，包含在當前用戶會話中接收來自發送端的GRE數據包序列號中的最大數字。僅當A字段置1時有效。

GRE頭中的“確認號”和“序列號”字段用于執行隧道上發生的一些沖突控制級別和錯誤檢測。同樣，控制連接被用來確定用于調節通過隧道的特定會話的PPP數據包流的速率和緩沖參數。PPTP不對沖突控制和流量指定特定的算法。

（3）PPTP協議的消息分類及基本格式

PPTP定義了一套用于在PNS和PAC之間控制連接上作為TCP數據發送的消息。發起控制連接所需的TCP會話的建立時所用的目的端口是TCP 1723，源端口是1024或更大的一個當前未使用的任意TCP端口。

每個PPTP控制連接消息以一個8字節的固定表頭部分開始。固定頭包括：消息總長（Length）、PPTP消息類型（Type）和“Magic Cookie”三個字段。“Magic Cookie”字段是一個固定的值，總是等于0x1A2B3C4D。它的基本用途是允許接收者確保它與TCP數據流正確地進行同步，但它不能用于在發生不適當格式消息的傳輸事件時與TCP數據流重同步。不同步時，將會關閉在該TCP會話上建立的控制連接。

PPTP有兩種控制連接消息：控制消息和管理消息，但管理消息目前未定義。表1列出了PPTP協議中的控制消息類型及對應的代碼值（十六進制）。

表1 PPTP控制消息類型及代碼值

2. L2TP協議

L2TP（Layer 2 Tunneling Protocol，二層隧道協議）也是VPDN隧道協議的一種，與PPTP協議一樣也是PPP（Point-to-Point Protocol，點對點協議）的擴展應用，可用于遠程撥號用戶接入企業總部網絡，也可用于分支機構與企業總部網絡的互聯。

（1）L2TP協議簡介

L2TP協議提供了一種跨越原始數據網絡（如IP網絡）構建二層隧道的機制。L2TP協議最初是在RFC2661定義的，V3版本是在RFC3931中定義。它集合了PPTP和L2F兩種協議的優點，目前已被廣泛接受，主要應用在單個或少數遠程終端通過公共網絡接入企業內聯網的需要。

L2TP協議包含兩類消息：控制消息和數據消息。控制消息用于建立、維護和清除控制連接和會話。這些信息利用L2TP可靠的控制信道以保證交付。數據信息是通過L2TP會話進行二層封裝傳輸的。但不同于控制信息，當發生數據包丟失時，數據信息不能重發。

L2TP控制消息頭為L2TP會話的建立、維護和拆除提供了可靠消息傳輸信息。默認情況下，控制消息是攜帶在數據消息之內傳輸的，控制消息頭部格式如圖4所示。各字段說明如下。

圖4 L2TP 控制消息頭格式

T：1位，必須置1，表示此消息是控制消息。

L和S字段：各占1位，必須置1，指示存在“Length”和“Sequence Number”字段。

各x：各占1位，保留位，必須全部置0，用于協議的未來擴展。

Ver：3位，指示控制消息所用的L2TP協議版，對于L2TPv3版本來說，此字段值為3。

Length：16位，以字節為單位標識整個控制消息長度，包括控制消息頭。

Control Connection ID：32位，標識控制連接ID號。不同控制連接的ID號必須唯一，但對于同一控制連接會話中發送的請求消息和應答消息的控制連接ID號必須一樣。

Ns：16位，標識當前控制消息的序列號，從0開始，每次增加1。

Nr：16位，標識下一個希望接收的一個控制消息的序列號，是上次接收到的控制消息中Ns字段值加1。

L2TP 數據消息包括一個會話頭（Session Header）、一個可選的二層描述子層（L2-Specific Sublayer）和隧道負載（Tunnel Payload）。L2TP會話頭對于通過L2TP通信中被封裝的PSN（包交換網絡，如IP、MPLS、FR等）來說是特定的，必須提供區分多個L2TP數據會話之間通信的方法和區分控制消息和數據信息的方法。每種PSN的封裝必須定義自己的會話頭，清楚地標識會話頭格式和要設置的會話參數。

二層描述子層是位于L2TP會話頭和隧道幀開始處之間，包含用于幫助每個幀穿越隧道的一些控制字段（如“序列號”或“標志”字段）。“隧道負載”也就是要真正傳輸的PPP數據幀。

（2）L2TP的主要特性

與PPTP協議一樣，L2TP協議也是對PPP數據幀進行封裝，在公共網絡上建立虛擬鏈路傳輸企業的私有數據，節省了租用物理專線的高額費用。同時將企業從復雜和專業的網絡維護中解放出來，只需要維護私有網絡和遠程接入的用戶，降低了用戶維護成本。

L2TP還具有如下特點，可以為企業提供方便、安全和可靠的遠程用戶接入服務。

1）靈活的身份認證機制以及高度的安全性

L2TP可使用PPP提供的安全特性（如PAP、CHAP），對接入用戶進行身份認證。

L2TP定義了控制消息的加密傳輸方式，支持L2TP隧道的驗證。

L2TP對傳輸的數據不加密，但可以和Internet協議安全協議IPSec結合應用（部署L2TP Over IPSec），為數據傳輸提供高度的安全保證。

2）多協議傳輸

因為L2TP協議傳輸的是PPP協議數據，而PPP協議可以傳輸多種協議報文，所以L2TP可以在IP網絡、以太網、幀中繼永久虛擬電路（PVC）、X.25虛擬電路（VC）或ATM VC網絡上使用。

3）支持RADIUS服務器的驗證

L2TP協議對接入用戶不僅支持本地驗證，還支持將撥號接入的用戶名和密碼發往RADIUS服務器進行驗證，為企業管理接入用戶提供了更多的選擇。

4）支持私網IP地址分配

應用L2TP的企業總部網關可以為遠程用戶動態分配私網IP地址，使遠程訪問用戶可以訪問到企業總部網絡內部資源。

5）可靠性

L2TP協議支持備份LNS，即當一個主LNS不可達之后，LAC可以與備份LNS建立連接，增強了VPN服務的可靠性。

3. MPLS協議

MPLS VPN的應用分為二層VPN（L2VPN）和三層VPN（L3VPN）兩大類。MPLS L2VPN的種類有很多，如各種方式的VLL、PWE3和VPLS，負責二層網絡（包括二層以太網、FR、ATM、HDLC網絡等）的遠程互連，MPLS L3VPN目前主要有BGP/MPLS IP VPN，負責三層IP網絡的遠程互連。

（1）MPLS的產生背景

在20世紀90年代中期，隨著IP技術的快速發展，Internet數據海量增長。但由于硬件技術存在限制，基于最長匹配原則的IP路由技術必須使用軟件查找路由，轉發性能低下，因此IP路由轉發性能成為當時限制網絡發展的瓶頸。

為了適應網絡的發展，ATM技術應運而生。ATM采用定長標簽（即VPI/VCI），并且只需要維護比IP路由表規模小得多的標簽表（MPLS標簽分入標簽和出標簽兩種， MPLS報文轉發時是根據出標簽進行的），能夠提供比IP路由方式高得多的轉發性能。然而，ATM協議相對復雜，且ATM網絡部署成本高，這使得ATM技術很難普及。如何結合IP與ATM的優點成為當時熱門話題。多協議標簽交換技術MPLS就是在這種背景下產生的。

MPLS最初是為了提高路由器的轉發速度而提出的。與傳統IP路由方式相比，它在數據轉發時，只在網絡邊緣分析IP報頭，而不用在每一跳都分析IP報頭，節約了中間設備的處理時間。但隨著專用集成電路ASIC（Application Specific Integrated Circuit，專用集成電路）技術的發展，路由查找速度已經不是阻礙網絡發展的瓶頸，這使得MPLS在提高轉發速度方面不再具備明顯的優勢。但是MPLS支持多層標簽和轉發平面面向連接的特性，使其在VPN、流量工程（TE）、Qo S等方面得到廣泛應用。

（2）MPLS協議簡介

MPLS是一種IP骨干網技術，在無連接的IP網絡上引入面向連接的標簽交換概念，將第三層IP路由技術和第二層交換技術相結合，充分發揮了IP路由的靈活性和二層交換的簡捷性。

MPLS起源于IPv4，其核心技術可擴展到多種網絡協議，包括IPv6、IPX和CLNP等。MPLS中的“Multiprotocol”指的就是支持多種網絡協議的意思。由此可見，MPLS并不是一種業務或者應用，實際上是一種隧道技術，可以對不同協議包進行重封裝。這種技術不僅支持多種高層協議與業務，而且在一定程度上可以保證信息傳輸的安全性。

MPLS網絡的典型結構如圖5所示，可以進行MPLS標簽交換和報文轉發的網絡設備稱為LSR（Label Switching Router，標簽交換路由器），如圖中所有的路由器；由LSR構成的網絡區域稱為MPLS域（MPLS Domain）。位于MPLS域緣、連接其他網絡的LSR稱為LER（Label Edge Router，邊緣路由器），區域內部的LSR稱為核心LSR（Core LSR）。

圖5 MPLS典型網絡結構

在MPLS L3VPN應用中，報文在IP網絡內進行傳統的IP轉發，在MPLS域內按標簽進行轉發。入口LER負責從IP網絡接收IP報文并給報文打上標簽（是MPLS出標簽），然后送到核心LSR（在此處要進行MPLS標簽交換），僅負責按照外層MPLS標簽進行報文轉發，出口LER負責從LSR接收帶MPLS報文并去掉標簽（支持PHP特性的外層標簽通常在倒數第二跳就被彈出），還原為原始的IP報文，然后轉發到目的IP網絡，根據IP路由轉發到目的設備。

IP報文在MPLS網絡中經過的路徑稱為LSP（Label Switched Path，標簽交換路徑），在報文轉發之前已經通過手工靜態配置，或者像LDP這樣的動態標簽協議協商確定并建立的，報文會在特定的LSP上傳遞。這就是MPLS所建立的“隧道”。

LSP的入口LER稱為入節點（Ingress）；位于LSP中間的LSR稱為中間節點（Transit）；LSP的出口LER稱為出節點（Egress）。一條LSP可以有0個、1個或多個中間節點，但有且只有一個入節點和一個出節點。如圖6所示的LSP是一個單向路徑示意圖。

圖6 單向路徑LSP示意

以指定的LSR為視角，根據數據傳送的方向，所有往本LSR發送MPLS報文的LSR都可以稱為上游LSR，本LSR將MPLS報文發送到的所有下一跳LSR都可以稱為下游LSR。如圖6所示，對于發往192.168.1.0/24的數據流來說，Ingress是Transit的上游節點，Transit是Ingress的下游節點。同理，Transit是Egress上游節點。Egress是Transit的下游節點。

4. IPSec協議族

IPSec（IP Security）不是一個單獨的協議，它給出了應用于IP層上網絡數據安全的一整套體系結構，包括AH（Authentication Header，認證頭）協議和ESP（Encapsulating Security Payload，封裝有效載荷）協議、IKE（Internet Key Exchange，密鑰管理協議）等協議，以及用于用戶身份認證和數據加密的一系列算法。

（1）IPSec協議族所提供的安全服務

IPSec協議族可在網絡層通過數據源認證、數據加密、數據完整性和抗重放功能來保證通信雙方Internet上傳輸數據的安全性。

數據加密：IPSec發送方在發送數據時要先對經過所選擇的安全協議重封裝后的數據包進行加密，以確保數據包在隧道中傳輸的安全。當然，在接收方要采取對應的解封裝和解密技術對原加密數據包進行還原和解密。

數據完整性（Data Integrity）和數據源認證（Data Authentication）：IPSec使用AH或/和ESP協議為IP數據包提供無連接的數據完整性和數據源認證，以確保數據在傳輸過程中沒有被篡改，并且來源是合法的。ESP協議還可為數據包提供數據加密服務。

抗重放（Anti-Replay）：IPSec使用AH或/和ESP協議提供抗重放服務，檢測并拒絕接收過時或重復的IP報文，防止惡意用戶通過重復發送捕獲到的數據包所進行的攻擊。

（2）IPSec主要協議

IPSec不是一個單獨的協議，而是包括一組協議，其中主要包括AH、ESP和IKE這三種。

1）AH協議

AH協議是一個用于提供IP數據包完整性檢查和身份認證的機制。其完整性檢查是用來保證數據包在到達接收方時沒有被篡改，而身份認證則是用來驗證數據的來源（識別主機、用戶、網絡等）。AH本身不提供加密功能，故它不能提供數據傳輸的機密性。

AH協議通過對整個IP數據包進行摘要計算來提供完整性檢查和身份認證服務。一個消息摘要就是一個特定的單向數據函數，它能夠創建數據包唯一的數字指紋（類似人的指紋，是唯一的，可作為合法性認證），通常是采用MD5或者SHA哈希算法（也稱“散列算法”）。一個消息摘要在被發送之前和數據被接收到以后都可以根據一組數據計算出來。如果兩次計算出來的摘要值是一樣的，那么表明該數據包在傳輸過程中就沒有被篡改。

2）ESP協議

ESP協議除可以實現AH協議的全部功能外，還可為傳輸的數據提供加密服務，因為除了可使用MD5、SHA這類身份認證算法外，還可以采用AES、DES、3DES等這類加密算法。

3）IKE協議

IKE協議用于在兩個通信實體協商、建立安全聯盟（SA），并進行密鑰交換。SA是IPSec中的一個重要概念，它表示兩個或多個通信實體之間經過了身份認證，且這些通信實體都能支持相同的加密算法，成功地交換了會話密鑰，可以開始利用 IPSec 進行安全通信。SA既可以通過命令配置由系統自動生成，也可以通過手工方式建立，但是當VPN 中結點增多時，手工配置將非常困難。

（3）IPSec VPN的應用場景

IPSec只是IPSec的一種應用方式，其目的是為IP遠程通信提供高安全性特性。IPSec VPN的應用場景分為以下三種。

1）Site-to-Site（站點到站點，或者網關到網關）

如企業的多個機構分布在互聯網的多個不同的地方，各使用一個應用層網關相互建立VPN隧道，企業各分機構內網的用戶之間的數據通過這些網關建立的IPSec隧道實現安全互聯。

這里所介紹的IPSec VPN應用主要是針對這種情形的，因為這是需要在三層設備上配置的，無需在用戶終端主機上配置。

2）End-to-End（端到端，或者PC到PC）

兩個位于不同網絡的PC之間的通信由兩個PC之間的IPSec會話保護，而不是由網關之間的IPSec會話保護。這種IPSec VPN是通過一些IPSec VPN客戶端軟件，如Windows（Windows 7/8/10系統中支持采用IKEv2動態協商）、Linux桌面操作系統中自帶的IPSec VPN客戶功能，Huawei VPN Client等客戶端軟件，結合Window或Linux服務器系統中自帶的IPSec VPN服務器功能來實現的。

3）End-to-Site（端到站點，或者PC到網關）

兩個位于不同網絡的PC之間的通信由網關和異地PC之間的IPSec進行保護。在IPSec VPN客戶端方面同樣可利用Windows、Linux桌面操作系統中自帶的IPSec VPN客戶功能，Huawei VPN Client等客戶端軟件來完成的。通常是采用L2TP over IPSec方案來部署，即在L2TP VPN基礎上采用IPSec來提供更好的安全保護。

5. GRE協議

隨著IPv4網絡的廣泛應用，為了使某些網絡層協議（如IP或IPX協議等）的報文能夠在IP網絡中傳輸，可以將這些報文通過GRE技術進行封裝，解決異種網絡的傳輸問題。GRE采用了Tunnel（隧道）技術，也是一種三層VPN隧道協議。

這里介紹普通的GRE協議，而不是用于PPTP協議中的增強型GRE協議。

GRE隧道技術可以為遠程通信的數據包傳輸提供一條邏輯的專用傳輸通道，在隧道的兩端分別對數據報進行封裝及解封裝，其基本的組網結構如圖7所示。“X網絡”可以是相同或不同類型網絡，如一端為IPv4網絡，另一端為IPv6網絡，或者一端為IPv4網絡，另一端為Novell網絡等。

圖7 GRE隧道基本組網結構

在GRE隧道建立前必須先在兩端創建所需的隧道接口（Tunnel接口），它是為實現報文的封裝而提供的一種點對點類型的虛擬接口，與Loopback接口類似，都是一種邏輯接口。

GRE隧道接口與其他隧道接口類似，均包含以下元素：

源地址：傳輸網絡中的網絡層協議（如IPv4或IPv6協議）報文中的源地址。從負責封裝后報文傳輸的網絡來看，隧道的源地址就是實際發送報文的接口IP地址。

目的地址：傳輸網絡中的網絡層協議（如IPv4或IPv6協議）報文中的目的地址。從負責封裝后報文傳輸的網絡來看，隧道本端的目的地址就是隧道目的端的源地址。

隧道接口IP地址：為了在隧道接口上啟用動態路由協議，或使用靜態路由協議發布隧道接口，需要為隧道接口分配IP地址。隧道接口的IP地址可以不是公共網絡地址，甚至可以借用其他接口的IP地址以節約IP地址。但是當Tunnel接口借用IP地址時，由于Tunnel接口本身沒有IP地址，無法在此接口上啟用動態路由協議，必須配置靜態路由或策略路由才能實現設備間的連通性。

封裝類型：隧道接口的封裝類型是指該隧道接口對報文進行的封裝方式。對于GRE隧道接口而言，封裝類型則為GRE。

建立GRE隧道之后，就可以將隧道接口看成是一個物理接口，運行動態路由協議或配置靜態路由。然后指定由此Tunnel接口作為出接口的數據都將通過這條GRE隧道進行轉發。但要注意的是，GRE VPN僅適用于Site-to-Site的網絡互聯，而且兩端公網網關接口必須分配公網IP地址，不支持End-to-Site模式，支持但不建議采用基于動態公網IP地址的Internet接入方式。