Model tunelování

Tato metoda vytváření VPN využívá tzv. tunelu, kterým je přenášena specifická část komunikace. Nejběžnějším typem tunelování je GRE (Generic Routing Encapsulation). Tunely jsou tvořeny routery, které slouží jako vstupní a výstupní body dané VPN sítě. K přenášeným paketům se přidává GRE hlavička s cílovou adresou routeru na druhém konci tunelu. Cílový router hlavičku odstraní a pokračuje k cíli podle cílové IP adresy:

GRE tunely jsou standardně typu bod-bod, některé implementace dovolují konfiguraci bod-více bodů.

Výhodou je odlišná adresace – přístupové body do páteřní sítě mají adresy této sítě a tunelování používá adresy cílových bodů z prostoru adres této sítě, zatímco VPN mají vlastní adresní rozsah. Tím vzniká odstínění těchto sítí, což je jeden z principů tzv. overlay modelu (překryvný).

Výhodou je také přenos libovolného síťového protokolu. Protokol je přenášen přes páteřní síť nezměněn. GRE umí pracovat s NAT.

Rozdíl oproti síti filtrování směrovacích informací je, že je zde možné používat privátní adresy.

Nevýhoda je náročnost konfigurace, protože všechny tunely musí být konfigurovány zvlášť.

Standardně je GRE podporován v Linuxu, FreeBSD a používá jej Cisco.