⼀. 技术介绍**

IPsec
主要作⽤是对数据进⾏加密，因为他能提供所有有时候被单独⽤作实现加密的⼀种⽅法！IPsec建⽴的是⼀个逻辑隧道，并不是真正意义上的隧道！并且不能提供路由功能，因为IPsec不⽀持⾮ip流量，也不⽀持⼴播（组播）！
GRE
（通⽤路由封装）能很好的提供⼀个真正意义上的点对点的隧道，GRE是⼀种三层VPN封装技术。GRE可以对某些⽹络层协议（如IPX、Apple Talk、IP等）的报⽂进⾏封装，使封装后的报⽂能够在另⼀种⽹络中（如IPv4）传输，从⽽解决了跨越异种⽹络的报⽂传输问题，虽然⽆法提供加密，但是能很好的⽀持⾮ip流量和⼴播！
GRE over IPSec（使⽤IPsec来加密隧道进⾏传输
GRE封装可以让你的私有IP地址封装在全球可路由的 new IP header GRE header，实现在不同site 之间的互联，但是GRE本⾝是明⽂⽅式，所以需要IPSec来加密保护，⼀般⽤传输模式即可，因为是GRE接⼝，所以⽀持组播，常⽤的⼀般就是这种模式。
IPSec over GRE（加密数据流后从隧道传输
这种⽅式在现实中很少⽤到,⼀般是通过crypto map ⽅式建⽴IPsec, 然后再⽤GRE来增加⼀个新的IP header, 因为这种模式IPSec 不是⼀种接⼝,只是⼀种映射,所以不能⽀组播。
⼀些区别
GRE over IPSEC：ipsec中acl匹配的是tunnle流，源和⽬的是隧道的源和⽬的
IPSEC over GRE：acl匹配的就是业务流
GRE over IPSEC：ike对等体中remote-address地址是对⽅公⽹⼝的物理地址
IPSEC over GRE：ike对等体中remote-address地址是对⽅tunnel接⼝地址
GRE over IPSEC：ipsec policy应⽤在本地物理接⼝上
IPSEC over GRE：ipsec policy应⽤在本地tunnel接⼝上