隧道,隧道是什么意思

隧道,隧道是什么意思

隧道是网络中用于传送数据分组的虚拟路径，这些数据分组可以是加密的数据分组，或者是使用与网络本身不同的其他协议类型的数据分组。当使用隧道传送外部数据分组时，可将它比作载送汽车过河或过海峡的渡船。图T-11描述了一个隧道的例子。隧道化处理涉及将源网络的数据分组封装成中间网络的数据分组。当数据分组到达目的网络时，它将被从数据分组中移出并在网络中转发。

图T-11 隧道通过中间网络传递数据分组

具有两个IPX网络(由大的TCP/IP网络分隔开)的单位可以通过将IPX数据分组封装成IP数据分组在TCP/IP网络中传送来连接这两个IPX网络。隧道也常用于在路由网络中传送不可路由的协议如SNA(系统网络体系结构)或NetBEUI(NetBIOS扩展用户界面)。封装用于在FDDI主干网络中传送以太网帧。以太网帧被放入FDDI帧内并通过FDDI主干网传送。当数据分组到达挂接到目的网络的以太网/FDDI时，它被解除封装并发送到目的地。

在公共网络(如Internet)中构建专用安全网络链路(即VPN，虚拟专用网络)方面，隧道变得非常普遍。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台（如INTERNET，ATM，FRAME RELAY等）之上的逻辑网络，用户数据在逻辑链路中传输。为了建立VPN，公司在虚拟链路的某一端安装加密路由器。在站点间发送的所有数据业务流量，不管它们使用的哪种协议，都可以放入IP数据分组并被路由到其他站点。数据分组中的数据被加密以保守秘密。当数据分组被加密时(即虚拟专用网络)，他们基本上是必须被封装的外部数据分组，因为中间网络无法读取头信息。由于安全原因，头通常被加密，但是，IETF IPSec (IP安全)协议提供了一种只加密数据而不加密头的选择方案。IPsec在IP层提供安全服务，它使系统能按需选择安全协议，决定服务所使用的算法及放置需求服务所需密钥到相应位置。IPsec用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。

隧道还可以提供源路由选择或基于约束的路由选择形式，在这种形式中，加密的路径被提前设置，以一种非常有效的方式从源到目的地传送数据分组。这是一种MPLS(多协议标记交换)与IPSec相结合的方法。通常的路由选择决策被回避并由快速交换方案代替。

另外两个常用的隧道协议是PPTP(点到点隧道协议)和L2TP(第2层隧道协议)。PPTP使用一个TCP连接对隧道进行维护，使用通用路由封装（GRE）技术把数据封装成PPP数据帧通过隧道传送。可以对封装PPP帧中的负载数据进行加密或压缩。L2TP支持封装的PPP帧在IP，X.25，帧中继或ATM等的网络上进行传送。当使用IP作为L2TP的数据报传输协议时，可以使用L2TP作为Internet网络上的隧道协议。L2TP还可以直接在各种WAN媒介上使用而不需要使用IP传输层。PPTP和L2TP比IPSec隧道优越的一点是，它们具有易于支持远程拨号访问用户的能力。原因在于这两种协议支持PPP用户身份验证。多数ISP用于Internet拨号访问帐户的也是同一种身份验证。