隧道,隧道是什么意思

隧道是網絡中用于傳送數據分組的虛擬路徑，這些數據分組可以是加密的數據分組，或者是使用與網絡本身不同的其他協議類型的數據分組。當使用隧道傳送外部數據分組時，可將它比作載送汽車過河或過海峽的渡船。圖T-11描述了一個隧道的例子。隧道化處理涉及將源網絡的數據分組封裝成中間網絡的數據分組。當數據分組到達目的網絡時，它將被從數據分組中移出并在網絡中轉發。

圖T-11 隧道通過中間網絡傳遞數據分組

具有兩個IPX網絡(由大的TCP/IP網絡分隔開)的單位可以通過將IPX數據分組封裝成IP數據分組在TCP/IP網絡中傳送來連接這兩個IPX網絡。隧道也常用于在路由網絡中傳送不可路由的協議如SNA(系統網絡體系結構)或NetBEUI(NetBIOS擴展用戶界面)。封裝用于在FDDI主干網絡中傳送以太網幀。以太網幀被放入FDDI幀內并通過FDDI主干網傳送。當數據分組到達掛接到目的網絡的以太網/FDDI時，它被解除封裝并發送到目的地。

在公共網絡(如Internet)中構建專用安全網絡鏈路(即VPN，虛擬專用網絡)方面，隧道變得非常普遍。之所以稱為虛擬網主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺（如INTERNET，ATM，FRAME RELAY等）之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。為了建立VPN，公司在虛擬鏈路的某一端安裝加密路由器。在站點間發送的所有數據業務流量，不管它們使用的哪種協議，都可以放入IP數據分組并被路由到其他站點。數據分組中的數據被加密以保守秘密。當數據分組被加密時(即虛擬專用網絡)，他們基本上是必須被封裝的外部數據分組，因為中間網絡無法讀取頭信息。由于安全原因，頭通常被加密，但是，IETF IPSec (IP安全)協議提供了一種只加密數據而不加密頭的選擇方案。IPsec在IP層提供安全服務，它使系統能按需選擇安全協議，決定服務所使用的算法及放置需求服務所需密鑰到相應位置。IPsec用來保護一條或多條主機與主機間、安全網關與安全網關間、安全網關與主機間的路徑。

隧道還可以提供源路由選擇或基于約束的路由選擇形式，在這種形式中，加密的路徑被提前設置，以一種非常有效的方式從源到目的地傳送數據分組。這是一種MPLS(多協議標記交換)與IPSec相結合的方法。通常的路由選擇決策被回避并由快速交換方案代替。

另外兩個常用的隧道協議是PPTP(點到點隧道協議)和L2TP(第2層隧道協議)。PPTP使用一個TCP連接對隧道進行維護，使用通用路由封裝（GRE）技術把數據封裝成PPP數據幀通過隧道傳送。可以對封裝PPP幀中的負載數據進行加密或壓縮。L2TP支持封裝的PPP幀在IP，X.25，幀中繼或ATM等的網絡上進行傳送。當使用IP作為L2TP的數據報傳輸協議時，可以使用L2TP作為Internet網絡上的隧道協議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。PPTP和L2TP比IPSec隧道優越的一點是，它們具有易于支持遠程撥號訪問用戶的能力。原因在于這兩種協議支持PPP用戶身份驗證。多數ISP用于Internet撥號訪問帳戶的也是同一種身份驗證。