1.定義
隧道技術的實質是用一種網絡層的協議來傳輸另一種網絡層協議的封裝技術。即利用一種網絡傳輸協議,將其他協議產生的數據報文封裝在它自己的報文中,然后在網絡中傳輸。其基本功能是封裝和加密。
隧道技術是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方法。使用隧道傳遞的數據可以是不同協議的數據幀或包。隧道協議將這些其他協議的數據幀或包重新封裝在新的包頭中發送。新的包頭提供了路由信息,從而使封裝的負載數據能夠通過互聯網絡傳遞。被封裝的數據包在隧道的兩個端點之間通過公共互聯網絡進行路由。被封裝的數據包在公共互聯網絡上傳遞時所經過的邏輯路徑稱為隧道。隧道技術是指包括數據封裝、傳輸和解封裝在內的全過程。
對於構建VPN來說,隧道技術用來在IP公網中仿真條點到點的通路,實現兩個節點間(VPN網關之間,或VPN網關與VPN遠程用戶之間)的安全通信,使數據包在公共網絡上的專用隧道內傳輸。
隧道的基本組成包括:隧道啟動結點、隧道終結結點、IP網等路由的分組網絡。隧道的啟動和終止結點可由許多網絡設備和軟件來實現。例如:ISP接入服務器、企業網防火牆,或者其他支持VPN的設備主機等。
使用隧道的原因是在不兼容的網絡上傳輸數據,或在不安全網絡上提供一個安全路徑。隧道的客戶機和服務器雙方必須使用相同的隧道協議。
2.隧道協議
封裝是構建隧道的基本手段。從隧道的兩端來看,封裝就是用來創建、維持和撤銷一個隧道,來實現信息的隱蔽和抽象。而如果流經隧道的數據不加密,那么整個隧道就暴露在公共網絡中,虛擬專用網絡的安全性和私有性就得不到體現。
網路隧道技術涉及了3種網絡協議:網絡隧道協議、承載協議和被承載協議。
隧道協議作為VPN IP層的底層,將VPN IP分組進行安裝封裝;隧道協議同時作為公用IP網的一種特殊形式,將封裝的VPN分組利用公網內的IP協議棧進行傳輸,以實現隧道內的功能。隧道協議在這個協議體系中起着承上啟下的作用。
隧道協議存在多種可能的實現方式,按照工作的層次,可分為兩類:一類是二層隧道協議,用於傳輸二層網絡協議,它主要應用於構建撥號VPN(Access VPN);另一類是三層隧道協議,用於傳輸三層網絡協議,它主要應用於構建內部網VPN(Intranet VPN)和外聯網(VPN Extranet VPN)。
1)二層隧道協議
二層隧道協議指用公用網絡來封裝和傳輸二層(數據鏈路層)協議,此時在隧道內傳輸的是數據鏈路層的幀。工作原理如圖所示
在點到點的二層鏈路上,最常用的二層協議是PPP協議,隧道協議實現中,首先將IP分組封裝在二層的PPP協議幀中,先把各種網絡協議封裝在PPP中,再把整個數據包裝入二層隧道協議中。這種雙層封裝方法形成的數據包在公用網絡中傳輸。
二層隧道協議具有簡單易行的優點,但是它的可擴展性不太好,而且提供內在的安全機制安全強度低,因此它們不支持企業和企業的外部客戶以及供應商之間通信的保密性需求,不適合用來構建連接企業內部網和企業的外部客戶和供應商的企業外部網VPN。
2)三層隧道協議
三層隧道協議是用公用網來封裝和傳輸三層(網路層)協議(如IP、IPX、AppleTalk等),此時在隧道內傳輸的是網路層的分組。三層隧道協議的協議棧如圖所示,
3..隧道技術是VPN技術的基礎,在創建隧道過程中,隧道的客戶機和服務器雙方必須使用相同的隧道協議。IP over IP和IPSec隧道模式都屬於第3層隧道協議,它們都是將lP包封裝在附加的IP包頭中通過IP網絡傳送。
幾種常見的隧道協議如下:
1)PPTP協議:
PPTP(Point-to-Point Tunneling Protocol,點對點隧道協議)是PPP(點對點)協議的擴展,並協調使用PPP的身份驗證、壓縮和加密機制。它允許對IP、IPX或NETBEUI數據流進行加密,然后封裝在IP包頭中通過諸如Internet這樣的公共網絡發送,從而實現多功能通信。 只有IP網絡才可以建立PPTP的VPN。兩個局域網之間若通過PPTP來連接,則兩端直接連接到Internet的VPN服務器必須要執行TC P/IP通信協議,但網絡中的其他計算機不一定需要執行TCP/IP協議,它們可以執行TCP/IP、IPX或NetBEUI通信協議。因為當它們通過VPN服務器與遠程計算機通信時,這些不同通信協議的數據包會被封裝到PPP的數據包內,然后經過Internet傳送,信息到達目的地后,再由遠程的VPN服務器將其還原為TCP/IP、IPX或NetBEUI數據包。但需要注意的是,PPTP會話不能通過代理服務器進行。
2)L2TP協議
L2TP(Layer Two Tunneling Protocol,第2層隧道協議)依賴於加密服務的Internet安全性(IPSec)。該協議允許客戶通過其間的網絡建立隧道,L2TP還支持信道認證,但它沒有規定信道保護的方法。
3)IPSec協議
IPSec是由IETF( Internet Engineering Task Force)定義的一套在網絡層提供IP安全性的協議。它主要用於確保網絡層之間的安全通信。該協議使用IPSec協議集保護IP網和非IP網上的L2TP業務。在IPSec協議中,一旦IPSec通道建立,在通信雙方網絡層之上的所有協議(如TCP、UDP、SNMP、HTTP、POP等)就要經過加密,而不管這些通道構建時所采用的安全和加密方法如何。
4.常見的隧道技術應用
1)VPN
VPN是在公用數據網上建立屬於自己的專用數據網。也就是說不再使用長途專線建立專用數據網,而是充分利用完善的公用數據網建立自己的專用網。VPN優點是既可連到公網所能達到的任何地點,享受其保密性、安全性和可管理性,又降低網絡的使用成本。
VPN依靠Internet服務提供商(ISP)和其他的網絡服務提供商(NSP)在公用網中建立自己的專用“隧道”,不同的信息來源,可分別使用不同的“隧道”進行傳輸。
2)通用路由封裝(GRE)
GRE是移動IP采用的一種隧道技術。除了IP協議外,GRE還支持其他網絡層協議,它允許一種協議的數據包封裝在另一種協議數據包的凈荷中。