隧道技术及其应用研究

【摘要】本论文首先对VPN的隧道技术进行了说明，然后分析了隧道技术，最后论文详细阐述了隧道技术的应用模型。

【关键词】隧道技术，应用，研究

中图分类号：U45文献标识码： A

一、前言

由于网络的发展和完善以及速度的不断提高，越来越多的公司逐步进行运用隧道技能。大规模的组建VPN网络已经成为一种趋势，这种技术越来越多地遭到用户的广泛重视。

二、VPN的隧道技术

VPN技术比较复杂，它涉及到通信技术、密码技术和现代认证技术，是一项交叉科学。具体来讲，目前VPN主要采用下列四项技术来保证其安全，这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术、使用者与设备身份认证技术(Authentication)。隧道技术是VPN的基本技术，类似于点对点连接技术，它在公用网中建立一条数据通道(隧道)，让数据包通过这条隧道传输。隧道技术的基本工作原理是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式之中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。

三、隧道技术

1、第二层隧道协议

第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。创建隧道的过程类似于在双方之间建立会话；隧道的两个端点必须同意创建隧道并协商隧道各种配置变量，如地址分配，加密或压缩等参数。第二层隧道协议有L2F、PPTP、L2TP等。

（一）、点对点隧道协议(PPTP)

PPTP将PPP数据桢封装在IP数据报内通过IP网络，如Internet传送。PPTP还可用于专用局域网络之间的连接。PPTP使用一个TCP连接对隧道进行维护，使用通用路由封装(GRE)技术把数据封装成PPP数据桢通过隧道传送。可以对封装PPP桢中的负载数据进行加密或压缩。

（二）、第2层转发(L2F)

L2F是Cisco公司提出的隧道技术，作为一种传输协议L2F支持拨号接入服务器将拨号数据流封装在PPP桢内通过广域网链路传送到L2F服务器(路由器)。L2F服务器把数据包解包之后重新注入(inject)网络。与PPTP和L2TP不同，L2F没有确定的客户方。应当注意L2F只在强制隧道中有效。

（三）、第2层隧道协议(L2TP)

L2TP结合了PPTP和L2F协议。设计者希望L2TP能够综合PPTP和L2F的优势。L2TP是一种网络层协议，支持封装的PPP桢在IP，X.25，桢中继或ATM等的网络上进行传送。当使用IP作为L2TP的数据报传输协议时，可以使用L2TP作为Internet网络上的隧道协议。L2TP还可以直接在各种WAN媒介上使用而不需要使用IP传输层。

2、第三层隧道协议

IPSec是指IETF(因特网工程任务组)以RFC形式公布的一组安全IP协议集，是为IP及其以上协议(TCP和UDP等)提供安全保护的安全协议标准。其目标是把安全机制引入IP协议，通过使用密码学方法支持机密性和认证服务等安全服务。IPSec通过在IP协议中增加两个基于密码的安全机制―认证头(AH)和封装安全载荷(ESP)来支持IP数据报的认证、完整性和机密性。IPSec协议族包括:IP安全架构、认证头AH、封闭安全载荷ESP和Internet密钥交换(IKE)等协议。IP安全架构协议指定了IPSec的整个框架，是IP层安全的标准协议。AH协议定义了数据源认证和完整性验证的应用方法。ESP为IP数据报文提供数据源验证、数据完整性校验、抗重播和数据加密服务。IKE为AH和ESP提供密钥交换机制，在实际进行IP通信

时，可以根据实际安全需求，同时使用AH和ESP协议，或选择使用其中的一种。

3、新兴的隧道协议

SSL是Netscape公司设计的主要用于web的安全传输协议。SSL被设计为使TCP提供一个可靠的端到端的安全服务，它不是一个单一的协议，而是由多个协议组成记录协议定义了要传输数据的格式，它位于可靠的传输协议TCP之上，用于各种更高层协议的封装。记录协议主要完成分组和组合，压缩和解压缩，以及消息认证和加密等功能。所有传输数据包括握手消息和应用数据都被封装在记录中。握手协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。通信双方首先通过SSL握手协议建立客户端与服务器之间的安全通道，SSL记录协议通过分段、压缩、添加MAC以及加密等操作步骤把应用数据封装成多条记录，最后再进行传输。

四、隧道技术的应用模型

1、端到端安全应用

IPSec存在于一个主机或终端系统时，每一个离开和进入的PI数据包都可得到安全保护。PI包的安全保护可以从数据源一直到数据被接收。制定相应的安全策略，一对独立的SA可以保护两个端点之间的全部通信―Tenlet、SMTP、WEB和FTP等。或者，根据两个端点之间通信的协议的不同(TCP和UDP)和端口的不同，分别用不同的SA保护两个端点之间的不同的通信。在这种模式下，通信的端点同时也是PISec的端点。所以，端到端安全可以在传送模式下，

利用PISec来完成；也可以在隧道模式下，利用额外IP头的新增来提供端到端的安全保护。

2、虚拟专用网

IPSec存在于路山器等网络互连设备时，司一以构建虚拟专用网VPN。VPN是“虚拟的”，因为它不是一个物理的、明显存在的网络。两个不同的物理网络通过一条穿越公共网络的安全隧道连接起来，形成一个新的网络VPN。VPN是“专川的”，因为被加密的隧道可以提供数据的机密性。而今，人们从传统的专线网络转移到利用公共网络的网络，逐渐意识到节省费用的VPN重耍性。通过在路山器上配置PISec，就可以构建一个VPN。在路山器的一端，连接着一个受保护的私有网络，对这个网络的访问要受到严格的拧制。在另一端连技的是一个不安全的网络帐Internet。在两个路山器之间的公共网络上建立一条安全隧道，通信就可以从一个受保护的本地子网安全地传送到另一个受保护的远程子网。这就是VPN，在VPN中，母一个具有IPSec的路由器都是一个网络聚合点。在两个PISec的路山器之间通常使用隧道模式，可以采用多种安全策略，建立一对或多对SA，试图对VPN进布J屯通信分析将是非常困难的。如果在一个本地私有网络中的数据包的目的地是VPN的远程网络―它是从一个路由器发送到另一个路山器的、加密的数据包。

3、移动IP

在端到端安IP全中，数据包由产生和l或接收通信的那个主机进行加密和解密.在VPN中，

网络中的一个路由器对一个受安全保护的网络中的主机(或多个)的数据包进行加密和解密。这两个组合一般称为移动IP。移动IP一般是独立的，它要求计问受安全保护的网络，它是一个移动的客户，不停留在某个固定的地方。他必须通过旅店、或任何一个可以进行internetPOP的地方，安全地访问公司资源。在移动IP的方案中，移动主机和路由器都支持PISec，它们之间可以建立一条安个隧道。它们能够在外出数据包抵达通信线路之前对它进行安全保护:能够在对进入包进行IP处理之前，验证它们的安全保护。具有PISec的路山器保护的是移动主机想要访问的那个网络，它也可以是支持V户N的路山器，允许其它的移动主机进行安全的远程访问。在这种方案中，一方是移动主机，它既是通信方。另一方将PISec当作一项服务提供给另一个网络实体。

4、嵌套式隧道

有时，需要支持多级网络安全保护。比如下面一个例子:一个企业有一个安全网关，以防止其网络受到竞争者或黑客的侵犯和攻击，而企业内部另有一个安全网关，防止某些内部员工进入敏感的子网。比如银行系统的企业网。这种情况下，如果某人希望对网络内部的保护子网进行访问，就必须使用嵌套式隧道。

5、链式隧道

一种常见的网络安全配置是Hub-and-spoke。从一个网络横过Hub-and-spoke网络，到达另一个网络的数据包都由一个安全网关加密，由中心路由器解密，再加密，并由保护远程网络的另一个安全网关解密。

6、隧道交换模型

如果从交换的角度来看，它也可以称为隧道交换模型。在中心路由器所连接的四个网络可以是不同类型的网络，隧道的实现方式也可以不同，但是，不同网络的两个节点在进行数据传输时，并不关心隧道的实现媒体，隧道可以接力的方式进行数据的传递。从安全的角度，假设每一个隧道是安全的，且中心路由器也是安全的，那么任何两个节点之间的通信也应该是安全的。假设隧道间彼此不能信任，那么可以只将隧道的连接看作是一条数据的传输通道，再使用前面所论述的隧道模型实现安全保护，如点到点的隧道安全模式。

五、结束语

由于Internet基础设施的完善，隧道技能必将将在网建等各范畴，发挥着越来越重要的效果。实现隧道技能的多种多样，它们各有各的优势，如今，市场上大多数都在使用VPN这类技能。

参考文献

[1]毛小兵，VPN演进之隧道交换.《计算机世界》2000

[2]沈鑫剡.IP交换网原理、技术及实现[M].北京:人民邮电出版社，2003.

[3]王达.虚拟专用网(VPN)精解[M].北京:清华大学出版社，2005

[4]郝辉，钱华林.VPN及其隧道技术研究[J].微电子学与计算机，2004