隧道技術
出自 MBA智库百科(https://wiki.mbalib.com/)
隧道技術(Tunneling)
目錄 |
隧道技術是一種通過使用互聯網路的基礎設施在網路之間傳遞數據的方式。使用隧道傳遞的數據(或負載)可以是不同協議的數據幀或包。隧道協議將其它協議的數據幀或包重新封裝然後通過隧道發送。新的幀頭提供路由信息,以便通過互聯網傳遞被封裝的負載數據。
這裡所說的隧道類似於點到點的連接。這種方式能夠使來自許多信息源的網路業務在同一個基礎設施中通過不同的隧道進行傳輸。隧道技術使用點對點通信協議代替了交換連接,通過路由網路來連接數據地址。隧道技術允許授權移動用戶或已授權的用戶在任何時間、任何地點訪問企業網路。
通過隧道的建立,可實現:
*將數據流強制送到特定的地址
*隱藏私有的網路地址
*在IP網上傳遞非IP數據包
*提供數據安全支持
近來出現了一些新的隧道技術,併在不同的系統中得到運用和拓展。
隧道技術的分類[1]
隧道協議為創建隧道,隧道的客戶機和伺服器雙方必須使用相同的隧道協議。隧道技術可分別以第二層或第三層隧道協議為基礎。第二層隧道協議對應於0SI模型的數據鏈路層,使用幀作為數據交換單位。PPTP(點對點隧道協議)、L2TP(第二層隧道協議)和L2F(第二層轉發協議)都屬於第二層隧道協議,是將用戶數據封裝在點對點協議(PPP)幀中通過互聯網發送。第三層隧道協議對應於OSI模型的網路層,使用包作為數據交換單位。IPIP(IPoverIP)以及IPSec隧道模式屬於第三層隧道協議,是將IP包封裝在附加的IP包頭中,通過IP網路傳送。無論哪種隧道協議都是由傳輸的載體、不同的封裝格式以及用戶數據包組成的。它們的本質區別在於,用戶的數據包是被封裝在哪種數據包中在隧道中傳輸。這裡我們主要介紹一下第二層隧道協議。
1.點對點隧道協議
PPTP(Pointto Point Tunneling Protoco1)提供PPTP客戶機和PPTP伺服器之間的加密通信。PPTP是PPP協議的一種擴展。它提供了一種在互聯網上建立多協議的安全虛擬專用網(VPN)的通信方式。遠端用戶能夠透過任何支持PPTP的ISP訪問公司的專用網。通過PPTP,客戶可採用撥號方式接入公用IP網。PPTP採用基於RSA公司RC4的數據加密方法,保證了虛擬連接通道的安全。PPTP把建立隧道的主動權交給了用戶,但用戶需要在其PC機上配置PPTP,這樣做既增加了用戶的工作量,又會給網路帶來隱患。另外,PPTP只支持IP作為傳輸協議。
2.第二層轉發協議
L2F(Layer Two Forwarding protoco1)是一種可以在多種介質,如ATM、幀中繼、IP網上建立多協議的安全虛擬專用網的通信。遠端用戶能通過任何撥號方式接入公用IP網,首先按常規方式撥到ISP的接入伺服器(NAS),建立PPP連接;NAS根據用戶名等信息,建立直達HGW伺服器的第二重連接。在這種情況下,隧道的配置和建立對用戶是完全透明的。
3.第三層隧道協議
L2TP(Layer Two Tunneling Protoco1)結合了L2F和PPTP的優點,允許用戶從客戶端或訪問伺服器端建立VPN連接。L2TP的好處在於支持多種協議,用戶可以保留原有的IPX、Appletalk等協議或公司原有的IP地址。L2TP還解決了多個PPP鏈路的捆綁問題,PPP鏈路捆綁要求其成員均指向同一個NAS,L2TP則允許在物理上連接到不同NAS的PPP鏈路,在邏輯上的終點為同一個物理設備。L2TP擴展了PPP連接,同時L2TP作為PPP的擴充提供了更強大的功能,包括允許第二層連接的終點和PPP會話的終點分別設在不同的設備上。
L2TP主要由LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)構成。LAC支持客戶端的L2TP,發起呼叫,接收呼叫和建立隧道;LNS是所有隧道的終點。在傳統的PPP連接中,用戶撥號連接的終點是LAC,而L2TP能把PPP協議的終點延伸到LNS。
L2TP方式給服務提供商和用戶帶來了許多方便。用戶不需要在PC板上安裝專門的客戶端軟體,企業網可以使用未註冊的IP地址,併在本地管理認證資料庫,從而降低了應用成本和培訓維護費用。與PPTP和L2F相比,L2TP的優點在於提供了差錯和流量控制;L2TP使用UDP封裝和傳送PPP幀。面向無連接的UDP無法保證網路數據的可靠傳輸,L2TP使用Nr(下一個希望接受的信息序列號)和NS(當前發送的數據包序列號)欄位進行流量和差錯控制“。雙方通過序列號來確定數據包的順序和緩衝區,一旦丟失數據,根據序列號可以進行重發。作為PPP的擴展協議,L2TP支持標準的安全特性CHAP和PAP,可以進行用戶身份認證。
(一)虛擬專用網路
VPN是Internet技術迅速發展的產物,其簡單的定義是,在公用數據網上建立屬於自己的專用數據網。也就是說不再使用長途專線建立專用數據網,而是充分利用完善的公用數據網建立自己的專用網。它的優點是,既可連到公網所能達到的任何地點,享受其保密性、安全性和可管理性,又降低網路的使用成本。
VPN依靠Internet服務提供商(ISP)和其他的網路服務提供商(NSP)在公用網中建立自己的專用“隧道”,不同的信息來源,可分別使用不同的“隧道”進行傳輸。
新出台的標準ISECHEIP6版保證用戶數據的安全加密。由於用戶對企業網傳輸個人數據很敏感,因此集成度更高的VPN技術不久將會流行起來。
(二)Linux中的IP隧道
為了在TCP/IP網路中傳輸其他協議的數據包,Linux採用了一種IP隧道技術。在已經使用多年的橋接技術中就是通過在源協議數據包上再套上一個IP協議帽來實現。
利用IP隧道傳送的協議包也包括IP數據包,Linux的IPIP包封指的就是這種情況。移動IP(Mobile-IP)和IP多點廣播(IP-Multicast)是兩個流行的例子。目前,IP隧道技術在VPN中也顯示出極大的魅力。
移動IP是在全球Internet上提供移動功能的一種服務,它允許節點在切換鏈路時仍可保持正在進行的通信。它提供了一種IP路由機制,使移動節點以一個永久的IP地址連接到任何鏈路上。與特定主機路由技術和數據鏈路層方案不同,移動IP還要解決安全性和可靠性問題,並與傳輸媒介無關。移動IP的可擴展性使其可以在整個互聯網上應用。
(三)GPRS隧道協議
隨著隧道技術的發展,各種業務已經開始根據本業務的特點制定相應的隧道協議。GPRS(GeneralPacketRadioService)中的隧道協議GTP(GPRSTunnelProtocol)就是一例。
GPRS是GSM提供的分組交換和分組傳輸方式的新的承載業務,可以應用在PLMN(PublicLandMobileNetwork)內部或應用在GPRS網與外部互聯分組數據網(IP、X.25)之間的分組數據傳送,GPRS能提供到現有數據業務的無縫連接。它在GSM網路中增加了兩個節點:服務GPRS支持節點(SGSN─servingGPRSsupportnode)和網關GPRS支持節點(GGSN─GatewayGPRSsupportnode)。
SGSN是GPRS骨幹網與無線接入網之間的介面,它將分組交換到正確的基站子系統(BSS)。其任務包括提供對移動台的加密、認證、會話(session)管理、移動性管理和邏輯鏈路管理。它也提供到HLR等資料庫的連接。
通過GPRS隧道協議可為多種協議的數據分組通過GPRS骨幹網提供隧道。GTP根據所運載的協議需求,利用TCP或UDP協議來分別提供可靠的連接(如支持X.25的分組傳輸)和無連接服務(如IP分組)。
- ↑ 張戈.基於隧道技術的網路跨越訪問研究[J].電腦安全.2011,11