隧道协定【隧道协定】隧道技术的实质是用一种网路层的协定来传输另一种网路层协定,其基本功能是封装和加密,主要利用网路隧道来实现 。
VPN的隧道技术对于构建VPN来说,隧道技术是一个关键技术 。它用来在IP公网中国仿真条点到点的通路,实现两个节点间(VPN网关之间,或VPN网关与VPN远程能过户之间)的安全通信,使数据包在公共网路上的专用隧道内出传输 。隧道的基本组成包括:隧道启动结点;隧道终结结点;IP网等路由的分组网路 。隧道的启动和终止结点可由许多网路设备和软体来实现 。例如:ISP接入伺服器、企业网防火墙,或者其他支持VPN的设备主机等 。这里统称为VPN结点,其功能还可能包括:防火墙和地址转换、数据加密、身份鉴别和授权的功能 。隧道协定隧道技术的实质是如何利用一种网路层的协定来传输另一种网路层的协定,其基本功能是封装和加密,主要利用隧道协定来实现 。封装是构建隧道的基本手段 。从隧道的两端来看,封装就是用来创建、维持和撤销一个隧道,来实现信息的隐蔽和抽象 。而如果流经隧道的数据不加密,那幺整个隧道就暴露在公共网路中,VPN的安全性和私有性就得不到体现 。网路隧道技术涉及了3种网路协定:网路隧道协定、隧道协定下面的承载协定和隧道协定所承载的被承载协定 。如图所示
文章插图
隧道协定作为VPN IP层的底层,将VPN IP分组进行安装封装;隧道协定同时作为公用IP网的一种特殊形式,将封装的VPN分组利用公网内的IP协定栈进行传输,以实现隧道内的功能 。隧道协定在这个协定体系中起着承上启下的作用 。隧道协定存在多种可能的实现方式,按照工作的层次,可分为两类:一类是二层隧道协定,用于传输二层网路协定,它主要套用于构建拨号VPN(Access VPN);另一类是三层隧道协定,用于传输三层网路协定,它主要套用于构建内部网VPN(Intranet VPN)和外联网(VPN Extranet VPN) 。二层隧道协定二层隧道协定指用公用网路来封装和传输二层(数据链路层)协定,此时在隧道内传输的是数据链路层的帧 。工作原理如图所示
文章插图
在点到点的二层链路上,最常用的二层协定是PPP协定,隧道协定实现中,首先将IP分组封装在二层的PPP协定帧中,也就是会所,先把各种网路协定封装在PPP中,再把整个数据包装入二层隧道协定中 。这种双层封装方法形成的数据包在公用网路中传输 。第二层隧道协定具有简单易行的优点,但是他没的可扩展性不太好,而且提供内在的安全机制安全强度低,因此它们不支持企业和企业的外部客户以及供应商之间通信的保密性需求,不适合用来构建连线企业内部网和企业的外部客户和供应商的企业外部网VPN 。三层隧道协定三层隧道协定是用公用网来封装和传输三层(网路层)协定(如IP、IPX、AppleTalk等),此时在隧道内传输的是网路层的分组 。三层隧道协定并非是一种很新的技术,早已出现的RFC 1701 通路路由封装协定就是一个三层隧道协定 。IETF制定的IP层加密标準协定IPSec 也是一个三层速到协定,利用IPSec(ESP/AN)的隧道模式构成的VPN隧道 。三层隧道协定的协定栈如图所示,
文章插图