隧道,隧道是什么意思

隧道是網絡中用于傳送數據分組的虛擬路徑，這些數據分組可以是加密的數據分組，或者是使用與網絡本身不同的其他協(xié)議類型的數據分組。當使用隧道傳送外部數據分組時，可將它比作載送汽車過河或過海峽的渡船。圖T-11描述了一個隧道的例子。隧道化處理涉及將源網絡的數據分組封裝成中間網絡的數據分組。當數據分組到達目的網絡時，它將被從數據分組中移出并在網絡中轉發(fā)。

圖T-11 隧道通過中間網絡傳遞數據分組

具有兩個IPX網絡(由大的TCP/IP網絡分隔開)的單位可以通過將IPX數據分組封裝成IP數據分組在TCP/IP網絡中傳送來連接這兩個IPX網絡。隧道也常用于在路由網絡中傳送不可路由的協(xié)議如SNA(系統(tǒng)網絡體系結構)或NetBEUI(NetBIOS擴展用戶界面)。封裝用于在FDDI主干網絡中傳送以太網幀。以太網幀被放入FDDI幀內并通過FDDI主干網傳送。當數據分組到達掛接到目的網絡的以太網/FDDI時，它被解除封裝并發(fā)送到目的地。

在公共網絡(如Internet)中構建專用安全網絡鏈路(即VPN，虛擬專用網絡)方面，隧道變得非常普遍。之所以稱為虛擬網主要是因為整個VPN網絡的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺（如INTERNET，ATM，F(xiàn)RAME RELAY等）之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。為了建立VPN，公司在虛擬鏈路的某一端安裝加密路由器。在站點間發(fā)送的所有數據業(yè)務流量，不管它們使用的哪種協(xié)議，都可以放入IP數據分組并被路由到其他站點。數據分組中的數據被加密以保守秘密。當數據分組被加密時(即虛擬專用網絡)，他們基本上是必須被封裝的外部數據分組，因為中間網絡無法讀取頭信息。由于安全原因，頭通常被加密，但是，IETF IPSec (IP安全)協(xié)議提供了一種只加密數據而不加密頭的選擇方案。IPsec在IP層提供安全服務，它使系統(tǒng)能按需選擇安全協(xié)議，決定服務所使用的算法及放置需求服務所需密鑰到相應位置。IPsec用來保護一條或多條主機與主機間、安全網關與安全網關間、安全網關與主機間的路徑。

隧道還可以提供源路由選擇或基于約束的路由選擇形式，在這種形式中，加密的路徑被提前設置，以一種非常有效的方式從源到目的地傳送數據分組。這是一種MPLS(多協(xié)議標記交換)與IPSec相結合的方法。通常的路由選擇決策被回避并由快速交換方案代替。

另外兩個常用的隧道協(xié)議是PPTP(點到點隧道協(xié)議)和L2TP(第2層隧道協(xié)議)。PPTP使用一個TCP連接對隧道進行維護，使用通用路由封裝（GRE）技術把數據封裝成PPP數據幀通過隧道傳送?？梢詫Ψ庋bPPP幀中的負載數據進行加密或壓縮。L2TP支持封裝的PPP幀在IP，X.25，幀中繼或ATM等的網絡上進行傳送。當使用IP作為L2TP的數據報傳輸協(xié)議時，可以使用L2TP作為Internet網絡上的隧道協(xié)議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。PPTP和L2TP比IPSec隧道優(yōu)越的一點是，它們具有易于支持遠程撥號訪問用戶的能力。原因在于這兩種協(xié)議支持PPP用戶身份驗證。多數ISP用于Internet撥號訪問帳戶的也是同一種身份驗證。