隧道技術及其應用
　　隧道技術（Tunneling）是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。使用隧道傳遞的數據（或負載）可以是不同協議的數據幀或包。隧道協議將其它協議的數據幀或包重新封裝然后通過隧道發送。新的幀頭提供路由信息，以便通過互聯網傳遞被封裝的負載數據。
　　這里所說的隧道類似于點到點的連接。這種方式能夠使來自許多信息源的網絡業務在同一個基礎設施中通過不同的隧道進行傳輸。隧道技術使用點對點通信協議代替了交換連接，通過路由網絡來連接數據地址。隧道技術允許授權移動用戶或已授權的用戶在任何時間、任何地點訪問企業網絡。
　　通過隧道的建立，可實現：
　　* 將數據流強制送到特定的地址
　　* 隱藏私有的網絡地址
　　* 在IP網上傳遞非IP數據包
　　* 提供數據安全支持
　　近來出現了一些新的隧道技術，并在不同的系統中得到運用和拓展。
　　隧道技術
　　為創建隧道，隧道的客戶機和服務器雙方必須使用相同的隧道協議。隧道技術可分別以第2層或第3層隧道協議為基礎。第2層隧道協議對應于OSI模型的數據鏈路層，使用幀作為數據交換單位。PPTP（點對點隧道協議）、L2TP（第二層隧道協議）和L2F（第2層轉發協議）都屬于第2層隧道協議，是將用戶數據封裝在點對點協議（PPP）幀中通過互聯網發送。第3層隧道協議對應于OSI模型的網絡層，使用包作為數據交換單位。IPIP（IP over IP）以及IPSec隧道模式屬于第3層隧道協議，是將IP包封裝在附加的IP包頭中，通過IP網絡傳送。無論哪種隧道協議都是由傳輸的載體、不同的封裝格式以及用戶數據包組成的。它們的本質區別在于，用戶的數據包是被封裝在哪種數據包中在隧道中傳輸。
　　點對點隧道協議
　　PPTP（Point to Point Tunneling Protocol）提供PPTP客戶機和PPTP服務器之間的加密通信。PPTP客戶機是指運行了該協議的PC機，如啟動該協議的Windows95/98；PPTP服務器是指運行該協議的服務器，如啟動該協議的WindowsNT服務器。PPTP是PPP協議的一種擴展。它提供了一種在互聯網上建立多協議的安全虛擬專用網（VPN）的通信方式。遠端用戶能夠透過任何支持PPTP的ISP訪問公司的專用網。
　　通過PPTP，客戶可采用撥號方式接入公用IP網。撥號用戶首先按常規方式撥到ISP的接入服務器（NAS），建立PPP連接；在此基礎上，用戶進行二次撥號建立到PPTP服務器的連接，該連接稱為PPTP隧道，實質上是基于IP協議的另一個PPP連接，其中的IP包可以封裝多種協議數據，包括TCP／IP、IPX和NetBEUI。PPTP采用了基于RSA公司RC4的數據加密方法，保證了虛擬連接通道的安全。對于直接連到互聯網的用戶則不需要PPP的撥號連接，可以直接與PPTP服務器建立虛擬通道。PPTP把建立隧道的主動權交給了用戶，但用戶需要在其PC機上配置PPTP，這樣做既增加了用戶的工作量，又會給網絡帶來隱患。另外，PPTP只支持IP作為傳輸協議。
　　第二層轉發協議
　　L2F(Layer Two Forwarding protocol )是由Cisco公司提出的可以在多種介質，如ATM、幀中繼、IP網上建立多協議的安全虛擬專用網的通信。遠端用戶能通過任何撥號方式接入公用IP網，首先按常規方式撥到ISP的接入服務器（NAS），建立PPP連接；NAS根據用戶名等信息，建立直達HGW服務器的第二重連接。在這種情況下，隧道的配置和建立對用戶是完全透明的。其體系結構見圖1。
　　第二層隧道協議
　　L2TP（Layer Two Tunneling Protocol）結合了L2F和PPTP的優點，允許用戶從客戶端或訪問服務器端建立VPN連接。L2TP是把鏈路層的PPP幀裝入公用網絡設施，如IP、ATM、幀中繼中進行隧道傳輸的封裝協議。其體系結構見圖1。
　　Cisco、Ascend、Microsoft和RedBack公司的專家們在修改了十幾個版本后，終于在1999年8月公布了L2TP的標準RFC2661。目前用戶撥號訪問Internet時，必須使用IP協議，并且其動態得到的IP地址也是合法的。L2TP的好處在于支持多種協議，用戶可以保留原有的IPX、Appletalk等協議或公司原有的IP地址。L2TP還解決了多個PPP鏈路的捆綁問題，PPP鏈路捆綁要求其成員均指向同一個NAS，L2TP則允許在物理上連接到不同NAS的PPP鏈路，在邏輯上的終點為同一個物理設備。L2TP擴展了PPP連接，在傳統的方式中用戶通過模擬電話線或ISDN/ADSL與網絡訪問服務器建立一個第2層的連接，并在其上運行PPP，第2層連接的終點和PPP會話的終點均設在同一個設備上(如NAS)。L2TP作為PPP的擴充提供了更強大的功能，包括允許第2層連接的終點和PPP會話的終點分別設在不同的設備上。
　　L2TP主要由LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)構成。LAC支持客戶端的L2TP，發起呼叫，接收呼叫和建立隧道；LNS是所有隧道的終點。在傳統的PPP連接中，用戶撥號連接的終點是LAC，而L2TP能把PPP協議的終點延伸到LNS。
　　L2TP的建立過程如圖2。
　　1.用戶通過公用電話網或ISDN撥號呼叫本地接入服務器LAC；LAC接受呼叫并進行基本的識別過程，這一過程可以采用幾種標準，如域名、呼叫線路識別(CLID)或撥號ID業務(DNIS)等。
　　2.當用戶被確認為合法企業用戶時，就建立一個通向LNS的撥號VPN隧道。
　　3.企業內部的安全服務器如TACACS+、RADIUS對撥號用戶進行驗證。
　　4.LNS與遠程用戶交換PPP信息，分配IP地址。LNS可采用企業專用地址(未注冊的IP地址)或服務提供商提供的地址空間分配IP地址。因為內部源IP地址與目的地IP地址實際上都通過服務提供商的IP網絡在PPP信息包內傳送，企業專用地址對提供者的網絡是透明的。
　　5.端到端的數據從撥號用戶傳到LNS。
　　在實際應用中，LAC將撥號用戶的PPP幀封裝后，傳送到LNS，后者去掉封裝包頭，取出PPP幀，再去掉PPP幀頭，最后獲得網絡層數據包。
　　L2TP方式給服務提供商和用戶帶來了許多方便。用戶不需要在PC板上安裝專門的客戶端軟件，企業網可以使用未注冊的IP地址，并在本地管理認證數據庫，從而降低了應用成本和培訓維護費用。
　　與PPTP和L2F相比，L2TP的優點在于提供了差錯和流量控制；L2TP使用UDP封裝和傳送PPP幀。面向無連接的UDP無法保證網絡數據的可靠傳輸，L2TP使用Nr（下一個希望接受的信息序列號）和Ns（當前發送的數據包序列號）字段進行流量和差錯控制。雙方通過序列號來確定數據包的順序和緩沖區，一旦丟失數據，根據序列號可以進行重發。
　　作為PPP的擴展協議，L2TP支持標準的安全特性CHAP和PAP，可以進行用戶身份認證。L2TP定義了控制包的加密傳輸，每個被建立的隧道分別生成一個獨一無二的隨機鑰匙，以便對付欺騙性的攻擊，但是它對傳輸中的數據并不加密。
　　通用路由封裝
　　通用路由封裝（GRE：Generic Routing Encapsulation）在RFC1701/RFC1702中定義，它規定了怎樣用一種網絡層協議去封裝另一種網絡層協議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義，它允許用戶使用IP封裝IP、IPX、AppleTalk，并支持全部的路由協議，如RIP、OSPF、IGRP、EIGRP。通過GRE，用戶可以利用公用IP網絡連接IPX網絡和AppleTalk網絡，還可以使用保留地址進行網絡互聯，或對公網隱藏企業網的IP地址。
　　GRE的包頭包含了協議類型（用于標明乘客協議的類型）；校驗和包括了GRE的包頭和完整的乘客協議與數據；密鑰（用于接收端驗證接收的數據）；序列號（用于接收端數據包的排序和差錯控制）和路由信息（用于本數據包的路由）。
　　GRE只提供了數據包的封裝，它沒有防止網絡偵聽和攻擊的加密功能。所以在實際環境中它常和IPsec一起使用，由IPsec為用戶數據的加密，給用戶提供更好的安全服務。
　　IP安全協議
　　IP安全協議（IPSec：IP Security）實際上是一套協議包而不是一個獨立的協議，這一點對于我們認識IPSec是很重要的。從1995年開始IPSec的研究以來，IETF IPSec工作組在它的主頁上發布了幾十個Internet草案文獻和12個RFC文件。其中，比較重要的有RFC2409 IKE（互連網密鑰交換）、RFC2401 IPSec協議、RFC2402 AH驗證包頭、RFC2406 ESP加密數據等文件。
　　IPSec安全體系包括3個基本協議：AH協議為IP包提供信息源驗證和完整性保證；ESP協議提供加密機制；密鑰管理協議(ISAKMP)提供雙方交流時的共享安全信息。ESP和AH協議都有相關的一系列支持文件，規定了加密和認證的算法。最后，解釋域（DOI）通過一系列命令、算法、屬性和參數連接所有的IPSec組文件。
　　隧道技術應用
　　虛擬專用網絡
　　VPN是Internet技術迅速發展的產物，其簡單的定義是，在公用數據網上建立屬于自己的專用數據網。也就是說不再使用長途專線建立專用數據網，而是充分利用完善的公用數據網建立自己的專用網。它的優點是，既可連到公網所能達到的任何地點，享受其保密性、安全性和可管理性，又降低網絡的使用成本。
　　VPN依靠Internet服務提供商（ISP）和其他的網絡服務提供商（NSP）在公用網中建立自己的專用“隧道”，不同的信息來源，可分別使用不同的“隧道”進行傳輸。
　　新出臺的標準ISE CHEIP6版保證用戶數據的安全加密。由于用戶對企業網傳輸個人數據很敏感，因此集成度更高的VPN技術不久將會流行起來。
　　Linux 中的IP隧道
　　為了在TCP/IP網絡中傳輸其他協議的數據包，Linux采用了一種IP隧道技術。在已經使用多年的橋接技術中就是通過在源協議數據包上再套上一個IP協議帽來實現。
　　利用IP隧道傳送的協議包也包括IP數據包，Linux的IPIP包封指的就是這種情況。移動IP（Mobile-IP）和IP多點廣播（IP-Multicast）是兩個流行的例子。目前，IP隧道技術在VPN中也顯示出極大的魅力。
　　移動IP是在全球Internet上提供移動功能的一種服務，它允許節點在切換鏈路時仍可保持正在進行的通信。它提供了一種IP路由機制，使移動節點以一個永久的IP地址連接到任何鏈路上。與特定主機路由技術和數據鏈路層方案不同，移動IP還要解決安全性和可靠性問題，并與傳輸媒介無關。移動IP的可擴展性使其可以在整個互聯網上應用。
　　GPRS隧道協議
　　隨著隧道技術的發展，各種業務已經開始根據本業務的特點制定相應的隧道協議。GPRS（General Packet Radio Service）中的隧道協議GTP（GPRS Tunnel Protocol）就是一例。
　　GPRS是GSM提供的分組交換和分組傳輸方式的新的承載業務，可以應用在PLMN（Public Land Mobile Network）內部或應用在GPRS網與外部互聯分組數據網（IP、X.25）之間的分組數據傳送，GPRS能提供到現有數據業務的無縫連接。它在GSM網絡中增加了兩個節點：服務GPRS支持節點（SGSN─serving GPRS support node）和網關GPRS支持節點（GGSN─Gateway GPRS support node）。
　　SGSN是GPRS骨干網與無線接入網之間的接口，它將分組交換到正確的基站子系統（BSS）。其任務包括提供對移動臺的加密、認證、會話（session）管理、移動性管理和邏輯鏈路管理。它也提供到HLR等數據庫的連接。
　　通過GPRS隧道協議可為多種協議的數據分組通過GPRS骨干網提供隧道。GTP根據所運載的協議需求，利用TCP或UDP協議來分別提供可靠的連接（如支持X.25的分組傳輸）和無連接服務（如IP分組）。