隧道技术都有哪些技术应用

发布网友 发布时间：2023-10-20 00:01

我来回答

共1个回答

热心网友 时间：2024-11-25 20:33

VPN的具体实现是采用隧道技术，将企业网的数据封装在隧道中进行传输。隧道协议可分为第二层隧道协议PPTP、L2F、L2TP和第三层隧道协议GRE、IPSEC。它们的本质区别在于用户的数据包是被封装在哪种数据包中在隧道中传输的。 　　 隧道技术 　　无论哪种隧道协议都是由传输的载体、不同的封装格式以及被传输数据包组成的。传输协议被用来传送封装协议，IP是一种常见的传输协议，这是因为IP具有强大的路由选择能力、可运行于不同介质上并且应用最为广泛。此外帧中继、ATM PVC和SVC也是非常合适的传输协议。比如用户想通过Internet将其分公司网络连接起来，但他的网络环境是IPX，这时用户就可以使用IP作为传输协议，通过封装协议封装IPX的数据包，然后就可以在Internet网上传递IPX数据。

　　隧道协议有很多好处，例如在拨号网络中，用户大都接受ISP分配的动态IP地址，而企业网一般均采用防火墙、NAT等安全措施来保护自己的网络，企业员工通过ISP拨号上网时就不能穿过防火墙访问企业内部网资源。采用隧道协议后，企业拨号用户就可以得到企业内部网IP地址，通过对PPP帧进行封装，用户数据包可以穿过防火墙到达企业内部网。 　　 PPTP点对点隧道协议 　　PPTP提供PPTP客户机和PPTP服务器之间的加密通信。PPTP客户机是指运行了该协议的PC机，如启动该协议的Windows 95/98,PPTP服务器是指运行该协议的服务器如启动该协议的Windows NT服务器。PPTP可看作是PPP协议的一种扩展。它提供了一种在Internet上建立多协议的安全VPN通信方式。远端用户能够透过任何支持PPTP和ISP访问公司的专用网络。
通过PPTP客户可采用拨号方式接入公共IP网络Internet。拨号客户首先按常规方式拨号到ISP的接入服务器NAS，建立PPP连接；在此基础上，客户进行二次拨号建立到PPTP服务器的连接，该连接称为PPTP隧道，实质上是基于IP协议上的另一个PPP连接，其中的IP包可以封装多种协议数据，包括TCP／IP、IPX和NetBEUI。PPTP采用了基于RSA公司RC4的数据加密方法，保证了虚拟连接通道的安全性。对于直接连到Internet上的客户则不需要第一重PPP的拨号连接，可以直接与PPTP服务器建立虚拟通道。 　　　L2F 第二层转发协议 　　L2F是由Cisco公司提出的可以在多种媒质如ATM、帧中继、IP网上建立多协议的全VPN通信方式。远端用户能够透过任何支持用户采用拨号方式接入公共IP网络，首先按常规方式拨号到ISP的接入服务器NAS，建立PPP连接；NAS根据用户名等信息，发起第二重连接，通向HGW 服务器。在这种情况下隧道的配置、建立对用户是完全透明的。 L2TP 第二层隧道协议 　　L2TP结合了L2F和PPTP的优点，可以让用户从客户端或访问服务器端发起VPN连接。L2TP是把链路层PPP帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议。Cisco、Ascend、微软和RedBack的专家们在修改了十几个版本后终于在1999年8月公布了L2TP的标准RFC2661。

　　目前用户拨号访问Internet时，必须使用IP协议并且其动态得到的IP地址也是合法的，L2TP的好处在于支持多种协议，用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址。L2TP还解决了多个PPP链路的*问题，PPP链路*要求其成员均指向同一个NAS，L2TP可以使物理上连接到不同NAS的PPP链路，在逻辑上的终结点为同一个物理设备。L2TP扩展了PPP连接，在传统方式中用户通过模拟电话线或ISDN/ADSL与网络访问服务器(NAS)建立一个第2层的连接，并在其上运行PPP。其第2层连接的终结点和PPP会话的终结点在同一个设备上(如NAS)。L2TP作为PPP的扩展提供更强的功能，第2层连接的终结点和PPP会话的终结点可以是不同的设备。

　　L2TP 主要由LAC(L2TP Access Concentrator) 和LNS(L2TP Network Server) 构成，LAC(L2TP访问集中器)支持客户端的L2TP，用于发起呼叫、接收呼叫和建立隧道；LNS(L2TP网络服务器)是所有隧道的终点。在传统的PPP连接中，用户拨号连接的终点是LAC，L2TP使得PPP协议的终点延伸到LNS。

L2TP的建立过程是：

　　1．用户通过公共电话网或ISDN拨号至本地的接入服务器LAC，LAC接收呼叫并进行基本的辨别，这一过程可以采用几种标准，如域名、呼叫线路识别(CLID)或拨号ID业务(DNIS)等。
　　2．当用户被确认为合法企业用户时，就建立一个通向LNS的拨号VPN隧道。
　　3．通过企业内部的安全服务器如TACACS＋、RADIUS鉴定拨号用户。
　　4．LNS与远程用户交换PPP信息，分配IP地址。LNS可采用企业私有地址(未注册的IP地址)或服务提供商提供的地址空间分配IP地址。因为内部源IP地址与目的地IP地址实际上都通过服务提供商的IP网络在PPP信息包内传送，企业私有地址对提供者的网络是透明的。
　　5．端到端的数据从拨号用户传到LNS。
与PPTP和L2F相比，L2TP的优点在于提供了差错和流量控制。作为PPP的扩展，L2TP支持标准的安全特性CHAP和PAP，可以进行用户身份认证。L2TP定义了控制包的加密传输，对于每个被建立的隧道，生成一个独一无二的随机钥匙，以便抵抗欺骗性的攻击。但是对传输中的数据并不加密。 参考 http://www.aiguozhe.com/wzjs/images/xiaotong/ysxy/html/jishu-131.htm希望能帮上你