隧道技術

隧道可分為自願隧道和強制隧道兩種。

自願隧道是使用最普遍的隧道類型。客戶端可以通過傳送VPN請求配置和創建一條自願隧道。

為建立自願隧道，客戶端計算機必須安裝適當的隧道協定，並需要一條IP連線(可通過區域網路或撥號線路)。如果使用撥號方式，客戶端必須在建立隧道之前創建與公共網際網路的一個撥號連線。

強制隧道由支持VPN的撥號接人伺服器配置和創建。在這種情況下，用戶計算機不作為隧道端點，而是由位用戶計算機和隧道伺服器之間的遠程接人伺服器作為隧道客戶端，成為隧道的一個端點。

一些廠家提供能夠創建隧道的撥號接入伺服器，包括支持PPTP協定的前端處理器(FEP)、支持L2TP協定的L2TP接人集線器(LAC)或支持IPSec的安全IP網關等。

FEP和隧道伺服器之間建立的隧道可以被多個撥號客戶共享，而不必為每個客戶建立各自的隧道。因此，一條強制隧道中可能會傳遞多個客戶的數據信息，只有在最後一個隧道用戶下線之後才能終止這條隧道。

隧道技術是VPN技術的基礎，在創建隧道過程中，隧道的客戶機和伺服器雙方必須使用相同的隧道協定。按照開放系統互連參考模型( OSI)的劃分，隧道技術可以分為第2層和第3層隧道協定。第2層隧道協定使用幀作為數據交換單位。PPTP、L2TP都屬於第2層隧道協定，它們都是將數據封裝在點對點協定( PPP)幀中通過網際網路傳送的。第3層隧道協定使用包作為數據交換單位。IPoverIP和IPSec隧道模式都屬於第3層隧道協定，它們都是將lP包封裝在附加的IP包頭中通過IP網路傳送。下面介紹幾種常見的隧道協定。

PPTP（Point-to-Point Tunneling Protocol，點對點隧道協定）是PPP（點對點）協定的擴展，並協調使用PPP的身份驗證、壓縮和加密機制。它允許對IP、IPX或NETBEUI數據流進行加密，然後封裝在IP包頭中通過諸如Internet這樣的公共網路傳送，從而實現多功能通信。

只有IP網路才可以建立PPTP的VPN。兩個區域網路之間若通過PPTP來連線，則兩端直接連線到Internet的VPN伺服器必須要執行TC P/IP通信協定，但網路中的其他計算機不一定需要執行TCP/IP協定，它們可以執行TCP/IP、IPX或NetBEUI通信協定。因為當它們通過VPN伺服器與遠程計算機通信時，這些不同通信協定的數據包會被封裝到PPP的數據包內，然後經過Internet傳送，信息到達目的地後，再由遠程的VPN伺服器將其還原為TCP/IP、IPX或NetBEUI數據包。但需要注意的是，PPTP會話不能通過代理伺服器進行。

L2TP（Layer Two Tunneling Protocol，第2層隧道協定）是基於RFC的隧道協定，該協定依賴於加密服務的Internet安全性(IPSec)。該協定允許客戶通過其間的網路建立隧道，L2TP還支持信道認證，但它沒有規定信道保護的方法。

IPSec是由IETF( Internet Engineering Task Force)定義的一套在網路層提供IP安全性的協定。它主要用於確保網路層之間的安全通信。該協定使用IPSec協定集保護IP網和非IP網上的L2TP業務。在IPSec協定中，一旦IPSec通道建立，在通信雙方網路層之上的所有協定（如TCP、UDP、SNMP、HTTP、POP等）就要經過加密，而不管這些通道構建時所採用的安全和加密方法如何。

隧道技術在移動IP中非常重要。移動IP使用IP的IP封裝、最小封裝和通用路由封裝(GRE)三種隧道技術。

1、IP的IP封裝

由RFC2008定義，用於將IPv4包放在另一個IPv4包的淨荷部分。其過程非常簡單，只需把一個P包放在一個新的IP包的淨荷中。採用IP的IP封裝的隧道對穿過的數據包來說，猶如一條虛擬鏈路。移動IP要求歸屬代理和外埠代理實現IP的IP封裝，以實現從歸屬代理到轉交地址的隧道。

2、IP的最小封裝

由RFC2004定義，是移動IP中的一種可選隧道方式。目的是減少實現隧道所需的額外位元組數，通過去掉IP的IP封裝中內層IP報頭和外層IP報頭的冗餘部分完成。與IP的IP封裝相比，它可節省位元組(一般8byte)。但當原始數據包已經過分片時，最小封裝就無能為力了。在隧道內的每台路由器上，由於原始包的生存時間域值都會減小，以使歸屬代理在採用最小封裝時，移動節點不可到達的機率增大。

3、通用路由封裝(GRE)

由RFC1701定義，是移動IP採用的最後一種隧道技術。除了IP協定外，GRE還支持其他網路層協定，它允許一種協定的數據包封裝在另一種協定數據包的淨荷中。在某些套用中,GRE防止遞歸封裝的機制也非常有吸引力。

隨著隧道技術的發展，各種業務已經開始根據本業務的特點制定相應的隧道協定。GPRS（General Packet Radio Service）中的隧道協定GTP（GPRS Tunnel Protocol）就是一例。

GPRS是GSM提供的分組交換和分組傳輸方式的新的承載業務，可以套用在PLMN（Public Land Mobile Network）內部或套用在GPRS網與外部互聯分組數據網（IP、X.25）之間的分組數據傳送，GPRS能提供到現有數據業務的無縫連線。它在GSM網路中增加了兩個節點：服務GPRS支持節點（SGSN─serving GPRS support node）和網關GPRS支持節點（GGSN─Gateway GPRS support node）。

SGSN是GPRS骨幹網與無線接入網之間的接口，它將分組交換到正確的基站子系統（BSS）。其任務包括提供對移動台的加密、認證、會話（session）管理、移動性管理和邏輯鏈路管理。它也提供到HLR等資料庫的連線。

通過GPRS隧道協定可為多種協定的數據分組通過GPRS骨幹網提供隧道。GTP根據所運載的協定需求，利用TCP或UDP協定來分別提供可靠的連線（如支持X.25的分組傳輸）和無連線服務（如IP分組）。

將一個幀封裝到不同類型的幀中，就成為隧道技術。

為了在TCP/IP網路中傳輸其他協定的數據包，Linux採用了一種IP隧道技術。在已經使用多年的橋接技術中就是通過在源協定數據包上再套上一個IP協定帽來實現。

利用IP隧道傳送的協定包也包括IP數據包，Linux的IPIP包封指的就是這種情況。移動IP（Mobile-IP）和IP多點廣播（IP-Multicast）是兩個流行的例子。IP隧道技術在VPN中也顯示出極大的魅力。

移動IP是在全球Internet上提供移動功能的一種服務，它允許節點在切換鏈路時仍可保持正在進行的通信。它提供了一種IP路由機制，使移動節點以一個永久的IP位址連線到任何鏈路上。與特定主機路由技術和數據鏈路層方案不同，移動IP還要解決安全性和可靠性問題，並與傳輸媒介無關。移動IP的可擴展性使其可以在整個網際網路上套用。

隧道技術套用VPN是Internet技術迅速發展的產物，其簡單的定義是，在公用數據網上建立屬於自己的專用數據網。也就是說不再使用長途專線建立專用數據網，而是充分利用完善的公用數據網建立自己的專用網。它的優點是，既可連到公網所能達到的任何地點，享受其保密性、安全性和可管理性，又降低網路的使用成本。

VPN依靠Internet服務提供商（ISP）和其他的網路服務提供商（NSP）在公用網中建立自己的專用“隧道”，不同的信息來源，可分別使用不同的“隧道”進行傳輸。

新出台的標準ISE CHEIP6版保證用戶數據的安全加密。由於用戶對企業網傳輸個人數據很敏感，因此集成度更高的VPN技術不久將會流行起來。