隧道技術

隧道可分為自願隧道和強制隧道兩種。 ^[2] 

自願隧道是使用最普遍的隧道類型。客户端可以通過發送VPN請求配置和創建一條自願隧道。 ^[2] 

為建立自願隧道，客户端計算機必須安裝適當的隧道協議，並需要一條IP連接(可通過局域網或撥號線路)。如果使用撥號方式，客户端必須在建立隧道之前創建與公共互聯網的一個撥號連接。 ^[2] 

強制隧道由支持VPN的撥號接入服務器配置和創建。在這種情況下，用户計算機不作為隧道端點，而是由位於用户計算機和隧道服務器之間的遠程接入服務器作為隧道客户端，成為隧道的一個端點。 ^[2] 

一些廠家提供能夠創建隧道的撥號接入服務器，包括支持PPTP協議的前端處理器(FEP)、支持L2TP協議的L2TP接入集線器(LAC)或支持IPSec的安全IP網關等。 ^[2] 

FEP和隧道服務器之間建立的隧道可以被多個撥號客户共享，而不必為每個客户建立各自的隧道。因此，一條強制隧道中可能會傳遞多個客户的數據信息，只有在最後一個隧道用户斷開連接之後才能終止這條隧道。 ^[2] 

隧道技術是VPN技術的基礎，在創建隧道過程中，隧道的客户機和服務器雙方必須使用相同的隧道協議。按照開放系統互連參考模型( OSI)的劃分，隧道技術可以分為第2層和第3層隧道協議。第2層隧道協議使用幀作為數據交換單位。PPTP、L2TP都屬於第2層隧道協議，它們都是將數據封裝在點對點協議( PPP)幀中通過互聯網發送的。第3層隧道協議使用包作為數據交換單位。IPoverIP和IPSec隧道模式都屬於第3層隧道協議，它們都是將lP包封裝在附加的IP包頭中通過IP網絡傳送。下面介紹幾種常見的隧道協議。 ^[3] 

PPTP（Point-to-Point Tunneling Protocol，點對點隧道協議）是PPP（點對點）協議的擴展，並協調使用PPP的身份驗證、壓縮和加密機制。它允許對IP、IPX或NETBEUI數據流進行加密，然後封裝在IP包頭中通過諸如Internet這樣的公共網絡發送，從而實現多功能通信。 ^[3] 

只有IP網絡才可以建立PPTP的VPN。兩個局域網之間若通過PPTP來連接，則兩端直接連接到Internet的VPN服務器必須要執行TC P/IP通信協議，但網絡中的其他計算機不一定需要執行TCP/IP協議，它們可以執行TCP/IP、IPX或NetBEUI通信協議。因為當它們通過VPN服務器與遠程計算機通信時，這些不同通信協議的數據包會被封裝到PPP的數據包內，然後經過Internet傳送，信息到達目的地後，再由遠程的VPN服務器將其還原為TCP/IP、IPX或NetBEUI數據包。但需要注意的是，PPTP會話不能通過代理服務器進行。 ^[3] 

L2TP（Layer Two Tunneling Protocol，第2層隧道協議）是基於RFC的隧道協議，該協議依賴於加密服務的Internet安全性(IPSec)。該協議允許客户通過其間的網絡建立隧道，L2TP還支持信道認證，但它沒有規定信道保護的方法。 ^[3] 

IPSec是由IETF( Internet Engineering Task Force)定義的一套在網絡層提供IP安全性的協議。它主要用於確保網絡層之間的安全通信。該協議使用IPSec協議集保護IP網和非IP網上的L2TP業務。在IPSec協議中，一旦IPSec通道建立，在通信雙方網絡層之上的所有協議（如TCP、UDP、SNMP、HTTP、POP等）就要經過加密，而不管這些通道構建時所採用的安全和加密方法如何。 ^[3] 

隧道技術在移動IP中非常重要。移動IP使用IP的IP封裝、最小封裝和通用路由封裝(GRE)三種隧道技術。 ^[4] 

1、IP的IP封裝

由RFC2008定義，用於將IPv4包放在另一個IPv4包的淨荷部分。其過程非常簡單，只需把一個P包放在一個新的IP包的淨荷中。採用IP的IP封裝的隧道對穿過的數據包來説，猶如一條虛擬鏈路。移動IP要求歸屬代理和外埠代理實現IP的IP封裝，以實現從歸屬代理到轉交地址的隧道。 ^[4] 

2、IP的最小封裝

由RFC2004定義，是移動IP中的一種可選隧道方式。目的是減少實現隧道所需的額外字節數，通過去掉IP的IP封裝中內層IP報頭和外層IP報頭的冗餘部分完成。與IP的IP封裝相比，它可節省字節(一般8byte)。但當原始數據包已經過分片時，最小封裝就無能為力了。在隧道內的每台路由器上，由於原始包的生存時間域值都會減小，以使歸屬代理在採用最小封裝時，移動節點不可到達的概率增大。 ^[4] 

3、通用路由封裝(GRE)

由RFC1701定義，是移動IP採用的最後一種隧道技術。除了IP協議外，GRE還支持其他網絡層協議，它允許一種協議的數據包封裝在另一種協議數據包的淨荷中。在某些應用中,GRE防止遞歸封裝的機制也非常有吸引力。 ^[4] 

隨着隧道技術的發展，各種業務已經開始根據本業務的特點制定相應的隧道協議。GPRS（General Packet Radio Service）中的隧道協議GTP（GPRS Tunnel Protocol）就是一例。 ^[5] 

GPRS是GSM提供的分組交換和分組傳輸方式的新的承載業務，可以應用在PLMN（Public Land Mobile Network）內部或應用在GPRS網與外部互聯分組數據網（IP、X.25）之間的分組數據傳送，GPRS能提供到現有數據業務的無縫連接。它在GSM網絡中增加了兩個節點：服務GPRS支持節點（SGSN─serving GPRS support node）和網關GPRS支持節點（GGSN─Gateway GPRS support node）。 ^[5] 

SGSN是GPRS骨幹網與無線接入網之間的接口，它將分組交換到正確的基站子系統（BSS）。其任務包括提供對移動台的加密、認證、會話（session）管理、移動性管理和邏輯鏈路管理。它也提供到HLR等數據庫的連接。 ^[5] 

通過GPRS隧道協議可為多種協議的數據分組通過GPRS骨幹網提供隧道。GTP根據所運載的協議需求，利用TCP或UDP協議來分別提供可靠的連接（如支持X.25的分組傳輸）和無連接服務（如IP分組）。 ^[5] 

將一個幀封裝到不同類型的幀中，就成為隧道技術。 ^[5] 

為了在TCP/IP網絡中傳輸其他協議的數據包，Linux採用了一種IP隧道技術。在已經使用多年的橋接技術中就是通過在源協議數據包上再套上一個IP協議帽來實現。 ^[5] 

利用IP隧道傳送的協議包也包括IP數據包，Linux的IPIP包封指的就是這種情況。移動IP（Mobile-IP）和IP多點廣播（IP-Multicast）是兩個流行的例子。IP隧道技術在VPN中也顯示出極大的魅力。 ^[5] 

移動IP是在全球Internet上提供移動功能的一種服務，它允許節點在切換鏈路時仍可保持正在進行的通信。它提供了一種IP路由機制，使移動節點以一個永久的IP地址連接到任何鏈路上。與特定主機路由技術和數據鏈路層方案不同，移動IP還要解決安全性和可靠性問題，並與傳輸媒介無關。移動IP的可擴展性使其可以在整個互聯網上應用。 ^[5] 

隧道技術應用VPN是Internet技術迅速發展的產物，其簡單的定義是，在公用數據網上建立屬於自己的專用數據網。也就是説不再使用長途專線建立專用數據網，而是充分利用完善的公用數據網建立自己的專用網。它的優點是，既可連到公網所能達到的任何地點，享受其保密性、安全性和可管理性，又降低網絡的使用成本。 ^[5] 

VPN依靠Internet服務提供商（ISP）和其他的網絡服務提供商（NSP）在公用網中建立自己的專用“隧道”，不同的信息來源，可分別使用不同的“隧道”進行傳輸。 ^[5] 

新出台的標準ISE CHEIP6版保證用户數據的安全加密。由於用户對企業網傳輸個人數據很敏感，因此集成度更高的VPN技術不久將會流行起來。 ^[5]