Muszę zbudować prosty tunel punkt-punkt, aby połączyć biuro przez obszar sieci, któremu ufamy, ale którego bezpośrednio nie kontrolujemy. Czy tunel musi być zamknięty w GRE, czy mogę korzystać z bezpośredniego adresu IP? (Nie będziemy używać IPsec do tej konkretnej implementacji).
Odpowiedzi:
Obie metody będą działać. Ja osobiście wolę GRE, ale nie powinno być żadnej praktycznej różnicy między tymi dwoma przypadkami użycia. (GRE może jednak przenosić inne protokoły warstwy 3 niż tylko IP.)
Jedyną rzeczą, o której należy pamiętać, jest to, że GRE wiąże się z niewielkim dodatkowym kosztem w przeciwieństwie do IPinIP.
Warto również zastanowić się, w jaki sposób tunelowanie wpływa na MTU ścieżki. Byłoby idealnie, gdyby infrastruktura między punktami końcowymi tunelu obsługiwała większą MTU. Pozwoli to uniknąć problemów z fragmentacją i uszkodzonym pmtud.
Prowadzenie tunelu przez GRE ma dodatkową zaletę polegającą na tym, że jest prawie niezależne od protokołu, więc możesz oczywiście użyć go później dla IPv6.
To powiedziawszy, jednak nic nie stoi na przeszkodzie, abyś uruchomił 6in4 lub ip6ip6 wraz z ipip, więc pytanie naprawdę sprowadza się do tego, czy jest jakiś wymierny zysk, wybierając GRE i używając go do wieloprotokołowej.
Jeśli planujesz załadować łącze do pełnej pojemności - skorzystaj z IPinIP. W przeciwnym razie - GRE.