隧道,隧道是什么意思

隧道是網(wǎng)絡(luò)中用于傳送數(shù)據(jù)分組的虛擬路徑，這些數(shù)據(jù)分組可以是加密的數(shù)據(jù)分組，或者是使用與網(wǎng)絡(luò)本身不同的其他協(xié)議類型的數(shù)據(jù)分組。當(dāng)使用隧道傳送外部數(shù)據(jù)分組時，可將它比作載送汽車過河或過海峽的渡船。圖T-11描述了一個隧道的例子。隧道化處理涉及將源網(wǎng)絡(luò)的數(shù)據(jù)分組封裝成中間網(wǎng)絡(luò)的數(shù)據(jù)分組。當(dāng)數(shù)據(jù)分組到達目的網(wǎng)絡(luò)時，它將被從數(shù)據(jù)分組中移出并在網(wǎng)絡(luò)中轉(zhuǎn)發(fā)。

圖T-11 隧道通過中間網(wǎng)絡(luò)傳遞數(shù)據(jù)分組

具有兩個IPX網(wǎng)絡(luò)(由大的TCP/IP網(wǎng)絡(luò)分隔開)的單位可以通過將IPX數(shù)據(jù)分組封裝成IP數(shù)據(jù)分組在TCP/IP網(wǎng)絡(luò)中傳送來連接這兩個IPX網(wǎng)絡(luò)。隧道也常用于在路由網(wǎng)絡(luò)中傳送不可路由的協(xié)議如SNA(系統(tǒng)網(wǎng)絡(luò)體系結(jié)構(gòu))或NetBEUI(NetBIOS擴展用戶界面)。封裝用于在FDDI主干網(wǎng)絡(luò)中傳送以太網(wǎng)幀。以太網(wǎng)幀被放入FDDI幀內(nèi)并通過FDDI主干網(wǎng)傳送。當(dāng)數(shù)據(jù)分組到達掛接到目的網(wǎng)絡(luò)的以太網(wǎng)/FDDI時，它被解除封裝并發(fā)送到目的地。

在公共網(wǎng)絡(luò)(如Internet)中構(gòu)建專用安全網(wǎng)絡(luò)鏈路(即VPN，虛擬專用網(wǎng)絡(luò))方面，隧道變得非常普遍。之所以稱為虛擬網(wǎng)主要是因為整個VPN網(wǎng)絡(luò)的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺（如INTERNET，ATM，F(xiàn)RAME RELAY等）之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。為了建立VPN，公司在虛擬鏈路的某一端安裝加密路由器。在站點間發(fā)送的所有數(shù)據(jù)業(yè)務(wù)流量，不管它們使用的哪種協(xié)議，都可以放入IP數(shù)據(jù)分組并被路由到其他站點。數(shù)據(jù)分組中的數(shù)據(jù)被加密以保守秘密。當(dāng)數(shù)據(jù)分組被加密時(即虛擬專用網(wǎng)絡(luò))，他們基本上是必須被封裝的外部數(shù)據(jù)分組，因為中間網(wǎng)絡(luò)無法讀取頭信息。由于安全原因，頭通常被加密，但是，IETF IPSec (IP安全)協(xié)議提供了一種只加密數(shù)據(jù)而不加密頭的選擇方案。IPsec在IP層提供安全服務(wù)，它使系統(tǒng)能按需選擇安全協(xié)議，決定服務(wù)所使用的算法及放置需求服務(wù)所需密鑰到相應(yīng)位置。IPsec用來保護一條或多條主機與主機間、安全網(wǎng)關(guān)與安全網(wǎng)關(guān)間、安全網(wǎng)關(guān)與主機間的路徑。

隧道還可以提供源路由選擇或基于約束的路由選擇形式，在這種形式中，加密的路徑被提前設(shè)置，以一種非常有效的方式從源到目的地傳送數(shù)據(jù)分組。這是一種MPLS(多協(xié)議標(biāo)記交換)與IPSec相結(jié)合的方法。通常的路由選擇決策被回避并由快速交換方案代替。

另外兩個常用的隧道協(xié)議是PPTP(點到點隧道協(xié)議)和L2TP(第2層隧道協(xié)議)。PPTP使用一個TCP連接對隧道進行維護，使用通用路由封裝（GRE）技術(shù)把數(shù)據(jù)封裝成PPP數(shù)據(jù)幀通過隧道傳送。可以對封裝PPP幀中的負載數(shù)據(jù)進行加密或壓縮。L2TP支持封裝的PPP幀在IP，X.25，幀中繼或ATM等的網(wǎng)絡(luò)上進行傳送。當(dāng)使用IP作為L2TP的數(shù)據(jù)報傳輸協(xié)議時，可以使用L2TP作為Internet網(wǎng)絡(luò)上的隧道協(xié)議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。PPTP和L2TP比IPSec隧道優(yōu)越的一點是，它們具有易于支持遠程撥號訪問用戶的能力。原因在于這兩種協(xié)議支持PPP用戶身份驗證。多數(shù)ISP用于Internet撥號訪問帳戶的也是同一種身份驗證。