隧道技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络隧道(Tunneling)技术就是利用一种网络协议来传输另一种网络协议的技术,它是虚拟专用网所采用的一项关键技术。
在虚拟专用网中,原有数据包首先要通过特殊的协议重新加密封装在另一个数据包中,然后再通过公共网络的传输协议(如TCP/IP)在公共网络中传输,当数据包到达虚拟专用网的 VPN设备时,VPN设备首先要对数字签名进行核对,核对无误后才能进行解包形成最初的形式。由于这种技术使用了一种网络传输协议来传输另一种网络传输协议,就像在公共网络中挖出了一条数据据传输的专用隧道一样,因此被称为网络隧道技术。
隧道一旦建立,数据就可以通过隧道发送。隧道客户端和服务器使用隧道数据传输协议准备传输数据。例如,当隧道客户端向服务器端发送数据时,客户端首先给负载数据加上一个隧道数据传送协议的包头,然后把封装的数据通过公共网络发送,并由公共网络将数据传送到隧道尽头的服务器端。隧道服务器端收到数据包之后,去除隧道数据传输协议包头,然后将负载数据转发到目的地。
(5)数据加密
第2层隧道协议支持基于PPP的数据加密机制,如微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE压缩标准。第3层隧道协议可以使用类似方法,例如,IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。
微软的L2TP协议使用IPSec加密保障隧道客户端和服务器之间数据流的安全。
(6)密钥管理
作为第2 层协议的MPPE依靠验证用户时生成的密钥,定期对其更新。IPSec在ISAKMP交换过程中公开协商公用密钥,同样对其进行定期更新。
(7)多协议支持
第2层隧道协议支持多种负载数据协议,从而使隧道客户能够访问使用IP、IPX或NetBEUI等多种协议的企业网络。相反,第3层隧道协议,如IPSec隧道模式只能支持使用IP协议的目标网络。
总的来说,网络隧道的建立应该肯有以下功能。
将不同网络的数据包强制到特定的目的地,以保证数据的正确传输。
隐藏用户私有的网络地址,以保证用户网络传输的安全。
在IP网上传输非IP协议数据包,以保证采用不同协议的网络可以通过公共网络组建自己的VPN.
提供数据安全支持,对数据包重新进行加密封装,以保证数据在隧道传输过程中的安全和保密性。
(3)动态地址分配
第2层隧道协议支持在网络控制协议(NCP)协商机制的基础上动态分配客户地址。第3层隧道协议通常假定隧道建立之前进行了地址分配。目前IPSec隧道模式下的地址分配方案仍在开发之中。
(4)数据压缩
第2层隧道协议支持基于PPP的数据压缩方式。例如,微软的PPTP和L2TP方案使用微软点对点加密协议(MPPE)。目前,IETP也正在开发应用于第3层隧道协议的类似数据压缩机制。
4 隧道的功能
虚拟专用网允许网络协议的转换和对来自不同网络的数据包进行区别,以便指定特定的目的地接受指定级别的服务。因此,在隧道的建立过程中,必须能够使来自许多不同网络的数据包在同一个公共网络中通过不同的专用隧道进行传输。这种隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接数据地址。隧道技术允许授权移动用户或已授权的用户在任何时间地点访问企业网络。
1 隧道的原理
隧道技术是一种利用公共网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据可以是使用不同协议封装的数据包,隧道协议将这些其他协议封装的数据包重新加密并封装在新的包头中发送。新的包头提供了路由信息,从而使新封装的数据包能够在隧道的两个端点之间通过公共互联网络进行路由传输。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。隧道中数传的传输过程如图所示。
另外,VPN网络中通常还有一个或多个安全服务器。安全服务器除提供防火墙和地址转换功能之外,还通过与隧道设备的通信来提供加密、身份查验和授权功能。它们通常也提供各种信息,如带宽、隧道端点、网络策略和服务等级。
3 隧道的创建
创建隧道的过程类似于在双方之间建立会话,隧道的两个端点必须同意创建隧道并协商隧道的各种配置变量,如地址分配,加密或压缩参数。绝大多数情况下,通过隧道传输的数据都使用基于数据包的协议发送。
2 隧道的形成要素
要想在公共网络中形成支持点到点连接的隧道,系统中必须具备以下要素。
隧道开通器
具有路由能力的公用网络
一个或多个隧道终止器。
必要时增加一个隧道交换机以增加灵活性
隧道开通器的任务是在公共网络中开出一条隧道中的客户端和服务器,以便新封装的数据包可以在这个隧道中以点到点的传输方式传送到VPN接收服务器。这个任务既可以由专用VPN硬件设备来完成,也可以由具备VPN拨号软件的终端用户计算机、分支机构内部局域网(或合作伙伴、供应商等网络网络)中的具有VPN功能的Extranet路由器、网络服务提供商站点中的具有VPN功能的接入服务器等。
隧道维护协议被用来作为管理隧道的机制。要想建立一条完整的隧道必须满足如下要求。
(1)用户验证
数据包在隧道中以点到点的方式进行传输,这就要求对隧道的两个端点进行验证,保证只有符合要求的两个端点才能通过隧道传输数据信息。
(2)令牌卡(Token Card)支持
通过使用扩展验证协议(EAP),第二层隧道协议(如PPTP、L2TP)能够支持多种验证方法,包括一次性口令(one-time Passowrd),加密计算器(Cryptographic Calculator)和智能卡等。第3层隧道协议也支持使用类似的方法,例如,IPSec协议通过ISAKMP/Oakley协商确定公共密钥证书验证。
具有路由能力的公共网络的任务是作为网络隧道的载体,完成数据包的路由传输。目前能够提供这种路由传输功能的公共网络主要有因特网和其他一些公共网络。
隧道终止器的任务是使隧道到此终止,不再继续向前延伸,即确定网络隧道的终点,目前,也有多种网络设备和软件可完成此项任务,例如,专门的隧道终止器、企业网络中的隧道交换机、公共网络提供服务商或其他网络提供服务商网络中的Extranet路由器上的VPN网关。
在虚拟专用网中,原有数据包首先要通过特殊的协议重新加密封装在另一个数据包中,然后再通过公共网络的传输协议(如TCP/IP)在公共网络中传输,当数据包到达虚拟专用网的 VPN设备时,VPN设备首先要对数字签名进行核对,核对无误后才能进行解包形成最初的形式。由于这种技术使用了一种网络传输协议来传输另一种网络传输协议,就像在公共网络中挖出了一条数据据传输的专用隧道一样,因此被称为网络隧道技术。
隧道一旦建立,数据就可以通过隧道发送。隧道客户端和服务器使用隧道数据传输协议准备传输数据。例如,当隧道客户端向服务器端发送数据时,客户端首先给负载数据加上一个隧道数据传送协议的包头,然后把封装的数据通过公共网络发送,并由公共网络将数据传送到隧道尽头的服务器端。隧道服务器端收到数据包之后,去除隧道数据传输协议包头,然后将负载数据转发到目的地。
(5)数据加密
第2层隧道协议支持基于PPP的数据加密机制,如微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE压缩标准。第3层隧道协议可以使用类似方法,例如,IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。
微软的L2TP协议使用IPSec加密保障隧道客户端和服务器之间数据流的安全。
(6)密钥管理
作为第2 层协议的MPPE依靠验证用户时生成的密钥,定期对其更新。IPSec在ISAKMP交换过程中公开协商公用密钥,同样对其进行定期更新。
(7)多协议支持
第2层隧道协议支持多种负载数据协议,从而使隧道客户能够访问使用IP、IPX或NetBEUI等多种协议的企业网络。相反,第3层隧道协议,如IPSec隧道模式只能支持使用IP协议的目标网络。
总的来说,网络隧道的建立应该肯有以下功能。
将不同网络的数据包强制到特定的目的地,以保证数据的正确传输。
隐藏用户私有的网络地址,以保证用户网络传输的安全。
在IP网上传输非IP协议数据包,以保证采用不同协议的网络可以通过公共网络组建自己的VPN.
提供数据安全支持,对数据包重新进行加密封装,以保证数据在隧道传输过程中的安全和保密性。
(3)动态地址分配
第2层隧道协议支持在网络控制协议(NCP)协商机制的基础上动态分配客户地址。第3层隧道协议通常假定隧道建立之前进行了地址分配。目前IPSec隧道模式下的地址分配方案仍在开发之中。
(4)数据压缩
第2层隧道协议支持基于PPP的数据压缩方式。例如,微软的PPTP和L2TP方案使用微软点对点加密协议(MPPE)。目前,IETP也正在开发应用于第3层隧道协议的类似数据压缩机制。
4 隧道的功能
虚拟专用网允许网络协议的转换和对来自不同网络的数据包进行区别,以便指定特定的目的地接受指定级别的服务。因此,在隧道的建立过程中,必须能够使来自许多不同网络的数据包在同一个公共网络中通过不同的专用隧道进行传输。这种隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接数据地址。隧道技术允许授权移动用户或已授权的用户在任何时间地点访问企业网络。
1 隧道的原理
隧道技术是一种利用公共网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据可以是使用不同协议封装的数据包,隧道协议将这些其他协议封装的数据包重新加密并封装在新的包头中发送。新的包头提供了路由信息,从而使新封装的数据包能够在隧道的两个端点之间通过公共互联网络进行路由传输。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。隧道中数传的传输过程如图所示。
另外,VPN网络中通常还有一个或多个安全服务器。安全服务器除提供防火墙和地址转换功能之外,还通过与隧道设备的通信来提供加密、身份查验和授权功能。它们通常也提供各种信息,如带宽、隧道端点、网络策略和服务等级。
3 隧道的创建
创建隧道的过程类似于在双方之间建立会话,隧道的两个端点必须同意创建隧道并协商隧道的各种配置变量,如地址分配,加密或压缩参数。绝大多数情况下,通过隧道传输的数据都使用基于数据包的协议发送。
2 隧道的形成要素
要想在公共网络中形成支持点到点连接的隧道,系统中必须具备以下要素。
隧道开通器
具有路由能力的公用网络
一个或多个隧道终止器。
必要时增加一个隧道交换机以增加灵活性
隧道开通器的任务是在公共网络中开出一条隧道中的客户端和服务器,以便新封装的数据包可以在这个隧道中以点到点的传输方式传送到VPN接收服务器。这个任务既可以由专用VPN硬件设备来完成,也可以由具备VPN拨号软件的终端用户计算机、分支机构内部局域网(或合作伙伴、供应商等网络网络)中的具有VPN功能的Extranet路由器、网络服务提供商站点中的具有VPN功能的接入服务器等。
隧道维护协议被用来作为管理隧道的机制。要想建立一条完整的隧道必须满足如下要求。
(1)用户验证
数据包在隧道中以点到点的方式进行传输,这就要求对隧道的两个端点进行验证,保证只有符合要求的两个端点才能通过隧道传输数据信息。
(2)令牌卡(Token Card)支持
通过使用扩展验证协议(EAP),第二层隧道协议(如PPTP、L2TP)能够支持多种验证方法,包括一次性口令(one-time Passowrd),加密计算器(Cryptographic Calculator)和智能卡等。第3层隧道协议也支持使用类似的方法,例如,IPSec协议通过ISAKMP/Oakley协商确定公共密钥证书验证。
具有路由能力的公共网络的任务是作为网络隧道的载体,完成数据包的路由传输。目前能够提供这种路由传输功能的公共网络主要有因特网和其他一些公共网络。
隧道终止器的任务是使隧道到此终止,不再继续向前延伸,即确定网络隧道的终点,目前,也有多种网络设备和软件可完成此项任务,例如,专门的隧道终止器、企业网络中的隧道交换机、公共网络提供服务商或其他网络提供服务商网络中的Extranet路由器上的VPN网关。