【文章內(nèi)容簡介】 隧道技術(shù)的概述 隧道技術(shù)的基本過程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)（可以是 ISO 七層模型中 的數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層數(shù)據(jù)）作為負載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，取出負載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所經(jīng)過 的邏輯路徑被稱之為“隧道”。 隧道技術(shù)是一種能過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負載數(shù)據(jù)能夠能過互聯(lián)網(wǎng)絡(luò)傳遞。 圖 數(shù)據(jù)在隧道中的傳輸 通過隧道的建立，可實現(xiàn)： ①將數(shù)據(jù)流強制送到特定的地址； ②隱藏私有的網(wǎng)絡(luò)地址； ③在 IP 網(wǎng)上傳遞非 IP 數(shù)據(jù)包； ④提供數(shù)據(jù)安全支持。 防災(zāi)科技學院畢業(yè)設(shè)計 (論文、綜合實踐報告） 要使數(shù)據(jù)順利地被封裝、傳送及解封裝，通信協(xié)議是保證的核心。為創(chuàng)建隧道，隧道的客戶機和服務(wù)器雙方必須使用相同的隧道協(xié)議。 隧道的功能就是在兩個網(wǎng)絡(luò)節(jié)點之間提供一條通路，使數(shù)據(jù)報能夠在這個通路上透明傳輸。 VPN 隧道一般是指在 PSN（ Packet Switched Network）骨干網(wǎng)的VPN 節(jié)點（ 一般指邊緣設(shè)備 PE）之間或 VPN 節(jié)點與用戶節(jié)點之間建立的用來傳輸 VPN 數(shù)據(jù)虛擬連接。 隧道協(xié)議 VPN 的具體實現(xiàn)是采用隧道技術(shù)，將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中進行傳輸。隧道協(xié)議可分為 第二層隧道協(xié)議 PPTP、 L2F、 L2TP、第三層隧道協(xié)議 GRE、 IPSet和第五層隧道協(xié)議 SOCKS v5。它們的本質(zhì)區(qū)別在于用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸?shù)摹? 隧道協(xié)議的分類 第二層隧道協(xié)議： (1)PPTP 點對點隧道協(xié)議： PPTP 提供 PPTP 客戶機和 PPTP 服務(wù)器之間的加密通信。 是由 PPTP 論 壇開發(fā)的點到點的安全隧道協(xié)議，為使用電話上網(wǎng)的用戶提供安全 VPN 業(yè)務(wù)， 1996 年成為 IETF 草案。 PPTP 是 PPP 協(xié)議的一種擴展，提供了在 IP 網(wǎng)上建立多協(xié)議的安全 VPN 的通信方式，遠端用戶能夠通過任何支持PPTP 的 ISP 訪問企業(yè)的專用網(wǎng)絡(luò)。 PPTP 提供 PPTP 客戶機和 PPTP 服務(wù)器之間的保密通信。 PPTP 客戶機是指運行該協(xié)議的 PC 機， PPTP 服務(wù)器是指運行該協(xié)議的服務(wù)器。 (2)L2F 第二層轉(zhuǎn)發(fā)協(xié)議： L2F（ Layer 2 Forwarding）是由 Cisco 公司提出的，可以在多種介質(zhì)（如 ATM、幀中繼、 IP）上建立多協(xié)議的安全 VPN 的通信方式。 L2F 遠端用戶能夠通過任何撥號方式接入公共 IP 網(wǎng)絡(luò)。首先，按常規(guī)方式撥號到 ISP 的接 入 服務(wù)器（ NAS），建立 PPP 連接； NAS 根據(jù)用戶名等信息發(fā)起第二次連接，呼叫用戶網(wǎng)絡(luò)的服務(wù)器。這種方式下，隧道的配置和建立對用戶是完全透明的。 L2F 允許撥號服務(wù)器發(fā)送 PPP 幀，并通過 WAN 連接到 L2F 服務(wù)器。 L2F 服務(wù)器將包去封裝后，把它們接入到企業(yè)自己的網(wǎng)絡(luò)中。與 PPTP 和 PPP 所不同的防災(zāi)科技學院畢業(yè)設(shè)計 (論文、綜合實踐報告） 是， L2F 沒有定義客戶。 (3)L2TP 第二層隧道協(xié)議： L2TP 結(jié)合了 L2F 和 PPTP 的優(yōu) 點，可以讓用戶從客戶端或接 入 服務(wù)器端發(fā)起 VPN 連接。 L2TP 定義了利用公共網(wǎng)絡(luò)設(shè)施封裝傳輸鏈路層 PPP 幀的方法。目前用戶撥號訪問因特網(wǎng)時，必須使用 IP 協(xié)議，并且其動態(tài)得到的 IP 地址也是合法的。 L2TP 的好處就在于支持多種協(xié)議，用戶可以保留原來的 IPX、 AppleTalk 等協(xié)議或企業(yè)原有的 IP 地址，企業(yè)在原來非 IP 網(wǎng)上的投資不致于浪費。另外， L2TP 還解決了多個 PPP 鏈路的捆綁問題。 L2TP 是用來整合多協(xié)議撥號服務(wù)至現(xiàn)有的因特網(wǎng)服務(wù)提供商點。 PPP 定義了多協(xié)議跨越第二層點對點鏈接的一個封裝機制。用戶通過使 用眾多技術(shù)之一（如：撥號 POTS、 ISDN、 ADSL 等）獲得第二層連接到網(wǎng)絡(luò)訪問服務(wù)器（ NAS），然后在此連接上運行 PPP。在這樣的配置中，第二層終端點和 PPP 會話終點處于相同的物理設(shè)備中 第三層隧道協(xié)議： (1)IPSet 協(xié)議： IPSec 是 IETF(Inter Engineer Task Force) 正在完善的安全標準，它把幾種安全技術(shù)結(jié)合在一起形成一個較為完整的體系，受到了眾多廠商的關(guān)注和支持。通過對數(shù)據(jù)加密、認證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性?IPSec 由 IP 認證 頭 AH(Authentication Header)、 IP 安全載荷封載 ESP(Encapsulated Security Payload)和密鑰管理協(xié)議組成。 IPSec 兼容設(shè)備在 OSI 模型的第三層提供加密、驗證、授權(quán)、管理，對于用戶來說是透明的，用戶使用時與平常無任何區(qū)別。密鑰交換、核對數(shù)字簽名、加密等都在后臺自動進行。 IPSec 可用兩種方式對數(shù)據(jù)流進行加密：隧道方式和傳輸方式。 兩種對 IP 包的封裝形式分別如下： 傳輸方式 隧道方式 防災(zāi)科技學院畢業(yè)設(shè)計 (論文、綜合實踐報告） 隧道方式對整個 IP 包進行加密，使用一個新的 IPSec 包打包。這種隧道協(xié)議是在 IP 上進行的，因此不支持多協(xié)議。傳輸方式時 IP 包的地址部分不處理，僅對數(shù)據(jù)凈荷進行加密。 IPSec 用密碼技術(shù)從三個方面來保證數(shù)據(jù)的安全。即 ： 認證：用于對主機和端點進行身份鑒別 ； 完整性檢查：用于保證數(shù)據(jù)在通過網(wǎng)絡(luò)傳輸時沒有被修改 ； 加密：加密 IP 地址和數(shù)據(jù)以保證私有性。 IPSec 支持的組網(wǎng)方式包括：主機之間、主機與網(wǎng)關(guān)、網(wǎng)關(guān)之間的組網(wǎng)。 IPSec還支持對遠程訪問用戶的支持。 IPSec 可以和 L2TP、 GRE 等隧道協(xié)議一起使用，給用 戶提供更大的靈活性和可靠性。 (2)GRE 協(xié)議： GRE 主要用于源路由和終路由之間所形成的隧道。 GRE 隧道使用 GRE 協(xié)議封裝原始數(shù)據(jù)報文，基于公共 IP 網(wǎng)絡(luò)實現(xiàn)數(shù)據(jù)的透明傳輸。 例如，將通過隧道的報文用一個新的報文頭（ GRE 報文頭）進行封裝然后帶著隧道終點地址放入隧道中。當報文到達隧道終點時， GRE 報文頭被剝掉，繼續(xù)原始報文的目標地址進行尋址。 GRE 隧道通常是點到點的，即隧道只有一個源地址和一個終地址。 GRE 建立起來的隧道只是在隧道源點和隧道終點可見，中間經(jīng)過的設(shè)備仍按照外層 IP 在網(wǎng)絡(luò)上進行普通的路由轉(zhuǎn)發(fā)。 GRE 的隧道由兩端的源 IP 地址和目的 IP 地址來定義，允許用戶使用 IP 包封裝 IP、 IPX、 AppleTalk 包，并支持全部的路由協(xié)議（如 RIP OSPF 等）。通過 GRE，用戶可以利用公共 IP 網(wǎng)絡(luò)連接 IPX 網(wǎng)絡(luò)、 AppleTalk 網(wǎng)絡(luò)，還可以使用保留地址進行網(wǎng)絡(luò)互連，或者對公網(wǎng)隱藏企業(yè)網(wǎng)的 IP 地址。 GER 只提供了數(shù)據(jù)包的封裝，并沒有加密功能來防止網(wǎng)絡(luò)偵聽和攻擊，所以在實際環(huán)境中經(jīng)常與IPSec 在一起使用，由 IPSec 提供用戶數(shù)據(jù)的加密，從而給用戶提供更好的安全性。 防災(zāi)科技學院畢業(yè)設(shè)計 (論文、綜合實踐報告） 圖 數(shù)據(jù)在 GRE隧道中傳輸 GRE 協(xié)議的主要用途有兩個：企業(yè)內(nèi)部協(xié)議封裝和私有地址封裝。在國內(nèi)，由于企業(yè)網(wǎng)幾乎全部采用的是 TCP/IP 協(xié)議，因此在中國建立隧道時沒有對企業(yè)內(nèi)部協(xié)議封裝的市場需求。企業(yè)使用 GRE 的唯一理由應(yīng)該