隧道技术
通过使用互联网络的基础设施在网络之间传递数据的方式
隧道技术是一种通过使用互联网络基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。
分类
隧道可分为自愿隧道和强制隧道两种。
自愿隧道
自愿隧道是使用最普遍的隧道类型。客户端可以通过发送VPN请求配置和创建一条自愿隧道。
为建立自愿隧道,客户端计算机必须安装适当的隧道协议,并需要一条IP连接(可通过局域网或拨号线路)。如果使用拨号方式,客户端必须在建立隧道之前创建与公共互联网的一个拨号连接。
强制隧道
强制隧道由支持VPN的拨号接入服务器配置和创建。在这种情况下,用户计算机不作为隧道端点,而是由位于用户计算机和隧道服务器之间的远程接入服务器作为隧道客户端,成为隧道的一个端点。
一些厂家提供能够创建隧道的拨号接入服务器,包括支持PPTP协议前端处理器(FEP)、支持L2TP协议的L2TP接入集线器(LAC)或支持IPSec的安全IP网关等。
FEP和隧道服务器之间建立的隧道可以被多个拨号客户共享,而不必为每个客户建立各自的隧道。因此,一条强制隧道中可能会传递多个客户的数据信息,只有在最后一个隧道用户断开连接之后才能终止这条隧道。
隧道协议
隧道技术是VPN技术的基础,在创建隧道过程中,隧道的客户机和服务器双方必须使用相同的隧道协议。按照开放系统互连参考模型( OSI)的划分,隧道技术可以分为第2层和第3层隧道协议。第2层隧道协议使用帧作为数据交换单位。PPTPL2TP都属于第2层隧道协议,它们都是将数据封装在点对点协议( PPP)帧中通过互联网发送的。第3层隧道协议使用包作为数据交换单位。IPoverIP和IPSec隧道模式都属于第3层隧道协议,它们都是将lP包封装在附加的IP包头中通过IP网络传送。下面介绍几种常见的隧道协议。
PPTP协议
PPTP(Point-to-Point Tunneling Protocol,点对点隧道协议)是PPP(点对点)协议的扩展,并协调使用PPP的身份验证、压缩和加密机制。它允许对IP、IPX或NETBEUI数据流进行加密,然后封装在IP包头中通过诸如Internet这样的公共网络发送,从而实现多功能通信。
只有IP网络才可以建立PPTP的VPN。两个局域网之间若通过PPTP来连接,则两端直接连接到Internet的VPN服务器必须要执行TC P/IP通信协议,但网络中的其他计算机不一定需要执行TCP/IP协议,它们可以执行TCP/IP、IPX或NetBEUI通信协议。因为当它们通过VPN服务器与远程计算机通信时,这些不同通信协议的数据包会被封装到PPP的数据包内,然后经过Internet传送,信息到达目的地后,再由远程的VPN服务器将其还原为TCP/IP、IPX或NetBEUI数据包。但需要注意的是,PPTP会话不能通过代理服务器进行。
L2TP协议
L2TP(Layer Two Tunneling Protocol,第2层隧道协议)是基于RFC的隧道协议,该协议依赖于加密服务的Internet安全性(IPSec)。该协议允许客户通过其间的网络建立隧道,L2TP还支持信道认证,但它没有规定信道保护的方法。
IPSec协议
IPSec是由IETF( Internet Engineering Task Force)定义的一套在网络层提供IP安全性的协议。它主要用于确保网络层之间的安全通信。该协议使用IPSec协议集保护IP网和非IP网上的L2TP业务。在IPSec协议中,一旦IPSec通道建立,在通信双方网络层之上的所有协议(如TCP、UDP、SNMP、HTTP、POP等)就要经过加密,而不管这些通道构建时所采用的安全和加密方法如何。
在移动IP中应用
隧道技术在移动IP中非常重要。移动IP使用IP的IP封装、最小封装和通用路由封装(GRE)三种隧道技术。
1、IP的IP封装
由RFC2008定义,用于将IPv4包放在另一个IPv4包的净荷部分。其过程非常简单,只需把一个P包放在一个新的IP包的净荷中。采用IP的IP封装的隧道对穿过的数据包来说,犹如一条虚拟链路。移动IP要求归属代理和外埠代理实现IP的IP封装,以实现从归属代理到转交地址的隧道。
2、IP的最小封装
由RFC2004定义,是移动IP中的一种可选隧道方式。目的是减少实现隧道所需的额外字节数,通过去掉IP的IP封装中内层IP报头和外层IP报头的冗余部分完成。与IP的IP封装相比,它可节省字节(一般8byte)。但当原始数据包已经过分片时,最小封装就无能为力了。在隧道内的每台路由器上,由于原始包的生存时间域值都会减小,以使归属代理在采用最小封装时,移动节点不可到达的概率增大。
3、通用路由封装(GRE)
由RFC1701定义,是移动IP采用的最后一种隧道技术。除了IP协议外,GRE还支持其他网络层协议,它允许一种协议的数据包封装在另一种协议数据包的净荷中。在某些应用中,GRE防止递归封装的机制也非常有吸引力。
应用举例
GPRS协议
随着隧道技术的发展,各种业务已经开始根据本业务的特点制定相应的隧道协议。GPRS(General Packet Radio Service)中的隧道协议GTP(GPRS Tunnel Protocol)就是一例。
GPRS是GSM提供的分组交换和分组传输方式的新的承载业务,可以应用在PLMN(Public Land Mobile Network)内部或应用在GPRS网与外部互联分组数据网(IP、X.25)之间的分组数据传送,GPRS能提供到现有数据业务的无缝连接。它在GSM网络中增加了两个节点:服务GPRS支持节点(SGSN─serving GPRS support node)和网关GPRS支持节点(GGSN─Gateway GPRS support node)。
SGSN是GPRS骨干网与无线接入网之间的接口,它将分组交换到正确的基站子系统(BSS)。其任务包括提供对移动台的加密认证、会话(session)管理、移动性管理和逻辑链路管理。它也提供到HLR等数据库的连接。
通过GPRS隧道协议可为多种协议的数据分组通过GPRS骨干网提供隧道。GTP根据所运载的协议需求,利用TCP或UDP协议来分别提供可靠的连接(如支持X.25的分组传输)和无连接服务(如IP分组)。
将一个帧封装到不同类型的帧中,就成为隧道技术。
在Linux 中应用
为了在TCP/IP网络中传输其他协议的数据包,Linux采用了一种IP隧道技术。在已经使用多年的桥接技术中就是通过在源协议数据包上再套上一个IP协议帽来实现。
利用IP隧道传送的协议包也包括IP数据包,Linux的IPIP包封指的就是这种情况。移动IP(Mobile-IP)和IP多点广播(IP-Multicast)是两个流行的例子。IP隧道技术在VPN中也显示出极大的魅力。
移动IP是在全球Internet上提供移动功能的一种服务,它允许节点在切换链路时仍可保持正在进行的通信。它提供了一种IP路由机制,使移动节点以一个永久的IP地址连接到任何链路上。与特定主机路由技术数据链路层方案不同,移动IP还要解决安全性和可靠性问题,并与传输媒介无关。移动IP的可扩展性使其可以在整个互联网上应用。
VPN协议
隧道技术应用VPN是Internet技术迅速发展的产物,其简单的定义是,在公用数据网上建立属于自己的专用数据网。也就是说不再使用长途专线建立专用数据网,而是充分利用完善的公用数据网建立自己的专用网。它的优点是,既可连到公网所能达到的任何地点,享受其保密性、安全性和可管理性,又降低网络的使用成本。
VPN依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己的专用“隧道”,不同的信息来源,可分别使用不同的“隧道”进行传输。
新出台的标准ISE CHEIP6版保证用户数据的安全加密。由于用户对企业网传输个人数据很敏感,因此集成度更高的VPN技术不久将会流行起来。
参考资料
最新修订时间:2022-08-25 17:07
目录
概述
分类
参考资料