隧道技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
VPN协议
隧道技术应用VPN是Internet技术迅速 发展的产物,它的优点是,既可连到公 网所能达到的任何地点,享受其保密性、 安全性和可管理性,又降低网络的使用 成本。 VPN依靠Internet服务提供商(ISP)和 其他的网络服务提供商(NSP)在公用 网中建立自己的专用“隧道”,不同的 信息来源,可分别使用不同的“隧道” 进行传输。
移动IP是在全球Internet上提供移动功 能的一种服务,它允许节点在切换链路 时仍可保持正在进行的通信。它提供了 一种IP路由机制,使移动节点以一个永 久的IP地址连接到任何链路上。与特定 主机路由技术和数据链路层方案不同, 移动IP还要解决安全性和可靠性问题, 并与传输媒介无关。移动IP的可扩展性 使其可以在整个互联网上应用。
SGSN是GPRS骨干网与无线接入网之间的 接口,它将分组交换到正确的基站子系 统(BSS)。 通过GPRS隧道协议可为多种协议的数据 分组通过GPRS骨干网提供隧道。GTP根 据所运载的协议需求,利用TCP或UDP协 议来分别提供可靠的连接(如支持X.25 的分组传输)和无连接服务(如IP分 组)。
4.LNS与远程用户交换PPP信息,分配IP 地址。LNS可采用企业专用地址(未注册 的IP地址)或服务提供商提供的地址空 间分配IP地址。因为内部源IP地址与目 的地IP地址实际上都通过服务提供商的 IP网络在PPP信息包内传送,企业专用 地址对提供者的网络是透明的。 5.端到端的数据从拨号用户传到LNS。 在实际应用中,LAC将拨号用户的PPP帧 封装后,传送到LNS,后者去掉封装包 头,取出PPP帧,再去掉PPP帧M提供的分组交换和分组传输 方式的新的承载业务,可以应用在PLMN 内部或应用在GPRS网与外部互联分组数 据网(IP、X.25)之间的分组数据传送, GPRS能提供到现有数据业务的无缝连接。 它在GSM网络中增加了两个节点:服务 GPRS支持节点和网关GPRS支持节点。
L2TP的建立过程
1.用户通过公用电话网或ISDN拨号呼叫 本地接入服务器LAC;LAC接受呼叫并进 行基本的识别过程,这一过程可以采用 几种标准,如域名、呼叫线路识别 (CLID)或拨号ID业务(DNIS)等。 2.当用户被确认为合法企业用户时,就 建立一个通向LNS的拨号VPN隧道。 3.企业内部的安全服务器如TACACS+、 RADIUS对拨号用户进行验证。
隧道技术就是在隧道的起点将IP分组封 装,并将外部地址设置为隧道终点的IP 地址。封装的IP分组经标准的IP路由算 法传递到隧道的终点。在隧道的终点, 将封装的IP分组进行拆分。 家乡代理和外地代理必须能够使用IPin-IP封装来支持分组的隧道传输。移 动IP协议另外提供了两种可选的封装方 式,即最小封装和GRE封装。
在Linux 中
为了在TCP/IP网络中传输其他协议的
数据包,Linux采用了一种IP隧道技 术。在已经使用多年的桥接技术中就 是通过在源协议数据包上再套上一个 IP协议帽来实现。 利用IP隧道传送的协议包也包括IP数 据包,Linux的IPIP包封指的就是这 种情况。移动IP和IP多点广播是两个 流行的例子。
隧道技术
隧道技术(Tunneling)是一种通过使用 互联网络的基础设施在网络之间传递数 据的方式。使用隧道传递的数据(或负 载)可以是不同协议的数据帧或包。隧 道协议将其它协议的数据帧或包重新封 装然后通过隧道发送。新的帧头提供路 由信息,以便通过互联网传递被封装的 负载数据。
内容包含
第2层隧道协议对应于OSI模型的数据链 层次,使用帧作为数据交换单位。PPTP、 L2TP和L2F都属于第2层隧道协议。 第3层隧道协议对应于OSI模型的网络层, 使用包作为数据交换单位。IPIP以及 IPSec隧道模式属于第3层隧道协议。 无论哪种隧道协议都是由传输的载体、 不同的封装格式以及用户数据包组成的。 它们的本质区别在于,用户的数据包是 被封装在哪种数据包中在隧道中传输。
隧道的功能
隧道技术使用点对点通信协议代替了交 换连接,通过路由网络来连接数据地址。 隧道技术允许授权移动用户或已授权的 用户在任何时间地点访问企业网络。 网络隧道的建立应该肯有以下功能: 1、将不同网络的数据包强制到特定的目 的地,以保证数据的正确传输。
2、隐藏用户私有的网络地址,以保证用 户网络传输的安全。 3、在IP网上传输非IP协议数据包,以保 证采用不同协议的网络可以通过公共网 络组建自己的VPN。 4、提供数据安全支持,对数据包重新进 行加密封装,以保证数据在隧道传输过 程中的安全和保密性。
在移动IP中
在网络中,移动主机的操作与标准的固 定主机相同;当移动主机移动到外地网 络,且完成移动IP的注册过程后,可以 在外地网络上继续通信。在外地网络上 的通信需要采用隧道技术。 封装是隧道技术的核心,所谓封装是指 把一个完整的IP分组当做数据,放在另 一个IP分组内,原IP分组的IP地址称为 内部地址,新的IP分组的IP地址称为外 部地址。
隧道协议
L2TP主要由LAC和LNS构成。LAC支持客 户端的L2TP,发起呼叫,接收呼叫和建 立隧道;LNS是所有隧道的终点。在传 统的PPP连接中,用户拨号连接的终点 是LAC,而L2TP能把PPP协议的终点延伸 到LNS。 L2TP结合了L2F和PPTP的优点,允许用 户从客户端或访问服务器端建立VPN连 接。如IP、ATM、帧中继中进行隧道传 输的封装协议。
安全协议
IP安全协议,实际上是一套协议包而不 是一个独立的协议,这一点对于我们认 识IPSec是很重要的。 IPSec安全体系包括3个基本协议:AH协 议为IP包提供信息源验证和完整性保证; ESP协议提供加密机制;密钥管理协议 (ISAKMP)提供双方交流时的共享安全信 息。ESP和AH协议都有相关的一系列支 持文件,规定了加密和认证的算法。最 后,解释域(DOI)通过一系列命令、 算法、属性和参数连接所有的IPSec组 文件。