-
隧道技術
鎖定
隧道技術是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。使用隧道傳遞的數據(或負載)可以是不同協議的數據幀或包。隧道協議將這些其他協議的數據幀或包重新封裝在新的包頭中發送。新的包頭提供了路由信息,從而使封裝的負載數據能夠通過互聯網絡傳遞。
[1]
被封裝的數據包在隧道的兩個端點之間通過公共互聯網絡進行路由。被封裝的數據包在公共互聯網絡上傳遞時所經過的邏輯路徑稱為隧道。一旦到達網絡終點,數據將被解包並轉發到最終目的地。注意隧道技術是指包括數據封裝、傳輸和解包在內的全過程。
[1]
隧道技術分類
隧道技術自願隧道
隧道技術強制隧道
隧道技術隧道協議
隧道技術是VPN技術的基礎,在創建隧道過程中,隧道的客户機和服務器雙方必須使用相同的隧道協議。按照開放系統互連參考模型( OSI)的劃分,隧道技術可以分為第2層和第3層隧道協議。第2層隧道協議使用幀作為數據交換單位。PPTP、L2TP都屬於第2層隧道協議,它們都是將數據封裝在點對點協議( PPP)幀中通過互聯網發送的。第3層隧道協議使用包作為數據交換單位。IPoverIP和IPSec隧道模式都屬於第3層隧道協議,它們都是將lP包封裝在附加的IP包頭中通過IP網絡傳送。下面介紹幾種常見的隧道協議。
[3]
隧道技術PPTP協議
PPTP(Point-to-Point Tunneling Protocol,點對點隧道協議)是PPP(點對點)協議的擴展,並協調使用PPP的身份驗證、壓縮和加密機制。它允許對IP、IPX或NETBEUI數據流進行加密,然後封裝在IP包頭中通過諸如Internet這樣的公共網絡發送,從而實現多功能通信。
[3]
只有IP網絡才可以建立PPTP的VPN。兩個局域網之間若通過PPTP來連接,則兩端直接連接到Internet的VPN服務器必須要執行TC P/IP通信協議,但網絡中的其他計算機不一定需要執行TCP/IP協議,它們可以執行TCP/IP、IPX或NetBEUI通信協議。因為當它們通過VPN服務器與遠程計算機通信時,這些不同通信協議的數據包會被封裝到PPP的數據包內,然後經過Internet傳送,信息到達目的地後,再由遠程的VPN服務器將其還原為TCP/IP、IPX或NetBEUI數據包。但需要注意的是,PPTP會話不能通過代理服務器進行。
[3]
隧道技術L2TP協議
L2TP(Layer Two Tunneling Protocol,第2層隧道協議)是基於RFC的隧道協議,該協議依賴於加密服務的Internet安全性(IPSec)。該協議允許客户通過其間的網絡建立隧道,L2TP還支持信道認證,但它沒有規定信道保護的方法。
[3]
隧道技術IPSec協議
IPSec是由IETF( Internet Engineering Task Force)定義的一套在網絡層提供IP安全性的協議。它主要用於確保網絡層之間的安全通信。該協議使用IPSec協議集保護IP網和非IP網上的L2TP業務。在IPSec協議中,一旦IPSec通道建立,在通信雙方網絡層之上的所有協議(如TCP、UDP、SNMP、HTTP、POP等)就要經過加密,而不管這些通道構建時所採用的安全和加密方法如何。
[3]
隧道技術在移動IP中應用
1、IP的IP封裝
由RFC2008定義,用於將IPv4包放在另一個IPv4包的淨荷部分。其過程非常簡單,只需把一個P包放在一個新的IP包的淨荷中。採用IP的IP封裝的隧道對穿過的數據包來説,猶如一條虛擬鏈路。移動IP要求歸屬代理和外埠代理實現IP的IP封裝,以實現從歸屬代理到轉交地址的隧道。
[4]
2、IP的最小封裝
由RFC2004定義,是移動IP中的一種可選隧道方式。目的是減少實現隧道所需的額外字節數,通過去掉IP的IP封裝中內層IP報頭和外層IP報頭的冗餘部分完成。與IP的IP封裝相比,它可節省字節(一般8byte)。但當原始數據包已經過分片時,最小封裝就無能為力了。在隧道內的每台路由器上,由於原始包的生存時間域值都會減小,以使歸屬代理在採用最小封裝時,移動節點不可到達的概率增大。
[4]
3、通用路由封裝(GRE)
由RFC1701定義,是移動IP採用的最後一種隧道技術。除了IP協議外,GRE還支持其他網絡層協議,它允許一種協議的數據包封裝在另一種協議數據包的淨荷中。在某些應用中,GRE防止遞歸封裝的機制也非常有吸引力。
[4]
隧道技術應用舉例
隧道技術GPRS協議
隨着隧道技術的發展,各種業務已經開始根據本業務的特點制定相應的隧道協議。GPRS(General Packet Radio Service)中的隧道協議GTP(GPRS Tunnel Protocol)就是一例。
[5]
GPRS是GSM提供的分組交換和分組傳輸方式的新的承載業務,可以應用在PLMN(Public Land Mobile Network)內部或應用在GPRS網與外部互聯分組數據網(IP、X.25)之間的分組數據傳送,GPRS能提供到現有數據業務的無縫連接。它在GSM網絡中增加了兩個節點:服務GPRS支持節點(SGSN─serving GPRS support node)和網關GPRS支持節點(GGSN─Gateway GPRS support node)。
[5]
SGSN是GPRS骨幹網與無線接入網之間的接口,它將分組交換到正確的基站子系統(BSS)。其任務包括提供對移動台的加密、認證、會話(session)管理、移動性管理和邏輯鏈路管理。它也提供到HLR等數據庫的連接。
[5]
通過GPRS隧道協議可為多種協議的數據分組通過GPRS骨幹網提供隧道。GTP根據所運載的協議需求,利用TCP或UDP協議來分別提供可靠的連接(如支持X.25的分組傳輸)和無連接服務(如IP分組)。
[5]
隧道技術在Linux 中應用
利用IP隧道傳送的協議包也包括IP數據包,Linux的IPIP包封指的就是這種情況。移動IP(Mobile-IP)和IP多點廣播(IP-Multicast)是兩個流行的例子。IP隧道技術在VPN中也顯示出極大的魅力。
[5]
移動IP是在全球Internet上提供移動功能的一種服務,它允許節點在切換鏈路時仍可保持正在進行的通信。它提供了一種IP路由機制,使移動節點以一個永久的IP地址連接到任何鏈路上。與特定主機路由技術和數據鏈路層方案不同,移動IP還要解決安全性和可靠性問題,並與傳輸媒介無關。移動IP的可擴展性使其可以在整個互聯網上應用。
[5]
隧道技術VPN協議
隧道技術應用VPN是Internet技術迅速發展的產物,其簡單的定義是,在公用數據網上建立屬於自己的專用數據網。也就是説不再使用長途專線建立專用數據網,而是充分利用完善的公用數據網建立自己的專用網。它的優點是,既可連到公網所能達到的任何地點,享受其保密性、安全性和可管理性,又降低網絡的使用成本。
[5]