خیلی از شما درباره پروتکل IPSec و GRE Tunneling مطالبی را شنیده اید. از IPSec برای encrypt کردن ترافیک ارسالی (با / بدون IP Payload متعلق به IP ، به ترتیب در حالت های Tunnel Mode و Transport Mode) استفاده می شود ،  GRE tunnel هم یک interface مجازی است که از آن جهت Encapsulate کردن packet های arbitrary استفاده می شود. به طور مثال فرض کنید شما ترافیک non-routable مثل Private IP address ، Multicast Packet و یا IPX جهت ارسال در یک راه pathدارید. با استفاده از GRE یکVirtual-path به صورت end-to-end بین دوendpoint برقرار می شود تا این ترافیک ارسال شود . در GRE یک payload جدید(IP Header) به packet اصلی اضافه می شود و که براساس IP Addressنوشته در  IP Header جدید ، Packet ارسال می شود.(20 بایت IP Header و 4 بایت GRE Header می باشد). نکته مهم اینست که GRE Tunnel به صورت یک interface  که Directly Connectedهست استفاده می شود. در GRE از Keepalive استفاده می شود تا از برقرار بودن Tunnel GRE اطمینان حاصل شود.
نکته مهم در این است که IPSec به تنهایی قادر به ارسال برخی ترافیک مثل multicast ( که بطور مثال برای ارسال routing updates کاربرد دارد) نمی باشد. از آن سو ترافیک GRE نیز به تنهایی  از هیچ گونه protection نظیر رمزنگاری packet ها بهره نمی برد. به همین دلیل ترکیب این دو با یکدیگر یک راه کار بسیار معقول تلقی می شود. پس در یک نگاه منطقی می توان از ترکیب این دو ، مفاهیم جدیدی را ایجاد کرد : GRE Over IPSec و IPSec Over GRE .
خوب ابتدا توضیح مفهوم این دو تا که از همه چیز مهم تر است. مفهوم GRE Over IPsec این است که IPSec Encryptionبعد از اضافه شدن header های GRE به Tunnel انجام بشود. این امر به دو روش در IOS قابل دستیابی است که آنها  استفاده از فرمان های crypto-map و tunnel protection می باشند. البته یک نکته  و آنهن اینکه از IOS نسخه 12.2 به بعدcrypto-map فقط به GRE Tunnel اضافه می شود.اما استفاده از این دو فرمان یک فرق بزرگ دارد و آنهم اینکه در tunnel protection پارامتر های کمتری باید تعریف شود ( نیاز به تعریف ACL و Peer Address نیست) . به علاوه  در صورتی استفاده از tunnel protection نمی توان از keepalive های GRE بهره برد و باید که DPD و Keepaliveمتعلق به IPSec استفاده شود. دلیل این امر اینست که در tunnel protection تمامی packet ها بصورت encrypted شده وارد tunnel می شوند و سپس decrypt می شوند و بصورت clear text در می آیند.لذا spoofed packet را نمی تواند شناسایی کند. به علاوه در صورت استفاده از tunnel protection می بایستی که ip address های مربوط به source و destination های IPSec و GRE یکسان باشد.
و اما IPSec Over GRE . خوب در یک تعریف ساده اینست که ترافیک IPSec که بصورت encrypted هست در داخل GRE Tunnel فرستاده شود. در این حالت تنها بخش مربوط به Data به حالت encrypted هست و از خود IP header مربوط به GRE جهت ارسال packet استفاده شد. خوب براحتی می توان دریافت که در صورت استفاده از crypto-map و IPSec Tunnel اما در حالت Transport mode به جای tunnel mode این امر امکان پذیر است.