虛擬隧道協議
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
虛擬隧道協議是一種通過公共網路的基礎設施,在專用網路或專用設備之間實現加密數據通信的技術。通信的內容可以是任何通信協議的數據包。隧道協議將這些協議的數據包重新封裝在新的包中發送。新的包頭提供了路由信息,從而使封裝的數據能夠通過公共網路傳遞,傳遞時所經過的邏輯路徑稱為隧道。當數據包到達通信終點後,將被拆封並轉發到最終目的地。隧道技術是指包括數據封裝、傳輸和數據拆封在內的全過程。
依隧道建立方式的不同,我們可以分為自願型隧道及義務型隧道兩種類型。
自願型隧道(VoluntaryTunneling) 當用戶使用隧道客戶端軟體,發出建立虛擬連接的請求,來連接到目標隧道伺服器時,由於用戶的電腦就是隧道的端點之一,且自願作為隧道的客戶端,所以稱為自願型隧道。為了達到此功能,客戶端電腦上必須安裝適當的隧道協議。
在撥接的情況下,客戶端必須在建立隧道之前,先建立一個撥號連接到網路。這是最常見的隧道類型。最佳的例子,就是撥接到Internet的用戶,他們必須先撥接到ISP連上Internet,才能建立通過Internet的隧道。
對於和LAN連接的電腦來說,客戶端已經與網路連接,而該網路已提供將資料傳送到隧道伺服器端的服務。這種情況通常發生在公司LAN上的用戶,公司LAN已連上Internet,因此他們不需要撥號連接,就能直接建立通過Internet的隧道。認為VPN需要撥號連接是很常見的錯誤觀念。事實上它只需要IP網路,使用撥號連接到Internet,是準備建立隧道的預備動作,但並不屬於隧道協議本身的一部份。
義務型隧道(CompulsoryTunneling)
某些具備VPN能力的遠程訪問伺服器(RemoteAccessServer),可以被設定作為隧道的客戶端,它與隧道伺服器端間建立隧道,且義務為遠程撥接用戶服務,所以稱為義務型隧道。用戶的電腦不再是一個隧道端點,取而代之的是位於用戶電腦及隧道伺服器之間的遠程訪問伺服器。用戶電腦上不需要安裝隧道客戶端軟體,也不需要隧道協議,因此我們也可以說,用戶被迫(被迫與義務是同義的)使用遠程訪問伺服器所代為建立的隧道。
隨著支持隧道協議的不同,這種設備也有不同的名稱,如PPTP的FrontEndProcessor(FEP)、L2TP的L2TPAccessConcentrator(LAC)或IPSec的IPSecurityGateway。下圖是以Internet、PPTP為例。
FEP可被設定成利用隧道來處理所有的撥接客戶端。或者,FEP也可被設定成根據用戶名稱或目的地不同,利用隧道來處理個別的撥接客戶端。FEP與隧道伺服器之間的隧道,可以被多個撥接客戶端所共用,因此該隧道會等到最後一位隧道用戶中斷連接之後才終止。
第二層對應到數據鏈路(Data-Link)層,以幀(frame)為單元交換資料。PPTP、L2TP及Layer2Forwarding(L2F)都是第二層的隧道協議,這些協議都會將載量封裝在「點對點通訊協議(PPP)」幀中,再以隧道協議封裝,再通過網路傳送。因為第二層隧道協議是以PPP通訊協議為基礎,因此也就繼承了一些很有用的功能,例如用戶驗證、動態地址指派、數據壓縮、數據加密等。若再配合使用ExtensibleAuthenticationProtocol(EAP),就可以支持各種先進的用戶驗證方法,如一次性密碼及智能卡等。
第三層對應到網路(Network)層,以數據包(packet)為資料交換單位。IP-over-IP及IPSec隧道模式,就是第三層隧道協議的範例,這些協議會先將IP數據包處理(如壓縮、加密)後,封裝上額外的IP標頭,然後再將它們通過IP網路傳送。
對於第二層隧道技術來說,隧道就像是一個session。隧道的兩個端點必須同意該隧道的建立,並協商兩者間的設定,例如地址的指派或加密、壓縮的參數等。隧道必須具有建立、維護,然後終止的過程。
第三層隧道技術通常會假設所有關於設定方面的問題,並非在通訊過程中協商,而會在事前以手動方式處理。對於這些協議來說,可能就沒有隧道維護階段。
一但隧道建立之後,就可以開始傳送數據。隧道的客戶端或伺服器端會使用隧道傳輸協議來準備要傳送的資料,當資料到達另一端之後,就會移除隧道傳輸協議的標頭,再將資料轉送到目標網路上。
