综合百科行业百科金融百科经济百科资源百科管理百科
管理百科
管理营销
资源百科
人力财务
经济百科
经济贸易
金融百科
金融证券
行业百科
物流咨询
综合百科
人物品牌

隧道技术

  	      	      	    	    	      	    

隧道技术(Tunneling)

目录

什么是隧道技术

  隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息,以便通过互联网传递被封装的负载数据。

  这里所说的隧道类似于点到点的连接。这种方式能够使来自许多信息源的网络业务在同一个基础设施中通过不同的隧道进行传输。隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接数据地址。隧道技术允许授权移动用户或已授权的用户在任何时间、任何地点访问企业网络

  通过隧道的建立,可实现

  *将数据流强制送到特定的地址

  *隐藏私有的网络地址

  *在IP网上传递非IP数据包

  *提供数据安全支持

  近来出现了一些新的隧道技术,并在不同的系统中得到运用和拓展。

隧道技术的分类[1]

  隧道协议为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。隧道技术可分别以第二层或第三层隧道协议为基础。第二层隧道协议对应于0SI模型的数据链路层,使用帧作为数据交换单位。PPTP(点对点隧道协议)、L2TP(第二层隧道协议)和L2F(第二层转发协议)都属于第二层隧道协议,是将用户数据封装在点对点协议(PPP)帧中通过互联网发送。第三层隧道协议对应于OSI模型的网络层,使用包作为数据交换单位。IPIP(IPoverIP)以及IPSec隧道模式属于第三层隧道协议,是将IP包封装在附加的IP包头中,通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于,用户的数据包是被封装在哪种数据包中在隧道中传输。这里我们主要介绍一下第二层隧道协议。

  1.点对点隧道协议

  PPTP(Pointto Point Tunneling Protoco1)提供PPTP客户机和PPTP服务器之间的加密通信。PPTP是PPP协议的一种扩展。它提供了一种在互联网上建立多协议的安全虚拟专用网(VPN)的通信方式。远端用户能够透过任何支持PPTP的ISP访问公司的专用网。通过PPTP,客户可采用拨号方式接入公用IP网。PPTP采用基于RSA公司RC4的数据加密方法,保证了虚拟连接通道的安全。PPTP把建立隧道的主动权交给了用户,但用户需要在其PC机上配置PPTP,这样做既增加了用户的工作量,又会给网络带来隐患。另外,PPTP只支持IP作为传输协议。

  2.第二层转发协议

  L2F(Layer Two Forwarding protoco1)是一种可以在多种介质,如ATM、帧中继、IP网上建立多协议的安全虚拟专用网的通信。远端用户能通过任何拨号方式接入公用IP网,首先按常规方式拨到ISP的接入服务器(NAS),建立PPP连接;NAS根据用户名等信息,建立直达HGW服务器的第二重连接。在这种情况下,隧道的配置和建立对用户是完全透明的。

  3.第三层隧道协议

  L2TP(Layer Two Tunneling Protoco1)结合了L2F和PPTP的优点,允许用户从客户端或访问服务器端建立VPN连接。L2TP的好处在于支持多种协议,用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址。L2TP还解决了多个PPP链路的捆绑问题,PPP链路捆绑要求其成员均指向同一个NAS,L2TP则允许在物理上连接到不同NAS的PPP链路,在逻辑上的终点为同一个物理设备。L2TP扩展了PPP连接,同时L2TP作为PPP的扩充提供了更强大的功能,包括允许第二层连接的终点和PPP会话的终点分别设在不同的设备上。

  L2TP主要由LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)构成。LAC支持客户端的L2TP,发起呼叫,接收呼叫和建立隧道;LNS是所有隧道的终点。在传统的PPP连接中,用户拨号连接的终点是LAC,而L2TP能把PPP协议的终点延伸到LNS。

  L2TP方式给服务提供商和用户带来了许多方便。用户不需要在PC板上安装专门的客户端软件,企业网可以使用未注册的IP地址,并在本地管理认证数据库,从而降低了应用成本和培训维护费用。与PPTP和L2F相比,L2TP的优点在于提供了差错和流量控制;L2TP使用UDP封装和传送PPP帧。面向无连接的UDP无法保证网络数据的可靠传输,L2TP使用Nr(下一个希望接受的信息序列号)和NS(当前发送的数据包序列号)字段进行流量和差错控制“。双方通过序列号来确定数据包的顺序和缓冲区,一旦丢失数据,根据序列号可以进行重发。作为PPP的扩展协议,L2TP支持标准的安全特性CHAP和PAP,可以进行用户身份认证。

隧道技术应用

  (一)虚拟专用网络

  VPN是Internet技术迅速发展的产物,其简单的定义是,在公用数据网上建立属于自己的专用数据网。也就是说不再使用长途专线建立专用数据网,而是充分利用完善的公用数据网建立自己的专用网。它的优点是,既可连到公网所能达到的任何地点,享受其保密性、安全性和可管理性,又降低网络的使用成本

  VPN依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己的专用“隧道”,不同的信息来源,可分别使用不同的“隧道”进行传输。

  新出台的标准ISECHEIP6版保证用户数据的安全加密。由于用户对企业网传输个人数据很敏感,因此集成度更高的VPN技术不久将会流行起来。

  (二)Linux中的IP隧道

  为了在TCP/IP网络中传输其他协议的数据包,Linux采用了一种IP隧道技术。在已经使用多年的桥接技术中就是通过在源协议数据包上再套上一个IP协议帽来实现。

  利用IP隧道传送的协议包也包括IP数据包,Linux的IPIP包封指的就是这种情况。移动IP(Mobile-IP)和IP多点广播(IP-Multicast)是两个流行的例子。目前,IP隧道技术在VPN中也显示出极大的魅力。

  移动IP是在全球Internet上提供移动功能的一种服务,它允许节点在切换链路时仍可保持正在进行的通信。它提供了一种IP路由机制,使移动节点以一个永久的IP地址连接到任何链路上。与特定主机路由技术和数据链路层方案不同,移动IP还要解决安全性和可靠性问题,并与传输媒介无关。移动IP的可扩展性使其可以在整个互联网上应用。

  (三)GPRS隧道协议

  随着隧道技术的发展,各种业务已经开始根据本业务的特点制定相应的隧道协议。GPRS(GeneralPacketRadioService)中的隧道协议GTP(GPRSTunnelProtocol)就是一例。

  GPRS是GSM提供的分组交换和分组传输方式的新的承载业务,可以应用在PLMN(PublicLandMobileNetwork)内部或应用在GPRS网与外部互联分组数据网(IP、X.25)之间的分组数据传送,GPRS能提供到现有数据业务的无缝连接。它在GSM网络中增加了两个节点:服务GPRS支持节点(SGSN─servingGPRSsupportnode)和网关GPRS支持节点(GGSN─GatewayGPRSsupportnode)。

  SGSN是GPRS骨干网与无线接入网之间的接口,它将分组交换到正确的基站子系统(BSS)。其任务包括提供对移动台的加密、认证、会话(session)管理、移动性管理和逻辑链路管理。它也提供到HLR等数据库的连接。

  通过GPRS隧道协议可为多种协议的数据分组通过GPRS骨干网提供隧道。GTP根据所运载的协议需求,利用TCP或UDP协议来分别提供可靠的连接(如支持X.25的分组传输)和无连接服务(如IP分组)。

参考文献

  1. 张戈.基于隧道技术的网络跨越访问研究[J].计算机安全.2011,11