隧道技术是一种通过公共网络的基础设施,在专用网络或专用设备之间实现加密数据通信的技术。通信的内容可以是任何通信协议的数据包。隧道协议将这些协议的数据包重新封装在新的包中发送。新的包头提供了路由信息,从而使封装的数据能够通过公共网络传递,传递时所经过的逻辑路径称为隧道。当数据包到达通信终点后,将被拆封并转发到最终目的地。隧道技术是指包括数据封装、传输和数据拆封在内的全过程。
VPN隧道所使用的公共网络可以是任何类型的通信网络。可以是Internet,也可以是企业内部网。为创建隧道,VPN的客户机和服务器必须使用相同的隧道协议,常用的隧道协议包括点对点隧道协议PPTP、第2层隧道协议L2TP和安全IP隧道模式IPSec。
按照开放系统互联OSI参考模型划分,隧道技术可以分为以第2层隧道协议为基础的技术和以第3层隧道协议为基础的技术。第2层隧道协议对应OSI模型中的数据链路层,使用帧作为数据传输单位。PPTP和L2TP协议属于第2层隧道协议,都是将数据封装在点对点协议(PPP)的帧中通过Internet发送。第3层隧道协议对应OSI模型中的网络层,使用包作为数据传输单位。安全IP隧道模式IPSec属于第3层隧道协议,是将口包封装在附加了IP包头的新数据包中通过IP网络传送。
点对点隧道协议(PPTP,Point-to-PointTunnelingProtocol)将点对点协议(PPP,Point-to-PointProtocol)的数据帧封装进IP数据包中,通过TCP/IP网络进行传输。PPTP可以对IP、IPX或NetBEUI数据进行加密传递。PPTP通过PPTP控制连接来创建、维护和终止一条隧道,并使用通用路由封装(GRE,GenericRoutingEncapsulation)对PPP数据帧进行封装。封装前,PPP数据帧的有效载荷(有效传输数据)首先必须经过加密、压缩或是两者的混合处理。
第2层隧道协议(L2TP,LayerTwoTunnelingProtocol)是PPTP和第2层转发技术(L2F,LayerTwoForward)的结合。第2层转发是Cisco公司提出的隧道技术。为了避免PPTP和L2F两种互不兼容的隧道技术在市场上彼此竞争给用户造成困惑和带来不便,Internet工程任务委员会IETF要求将两种技术结合在单一隧道协议中,并在该协议中综合PPTP和L2F两者的优点,由此产生了L2TP。L2TP协议将PPP数据帧封装后,可通过TCP/IP、X.25、帧中继或ATM等网络进行传送。L2TP可以对IP、IPX或NetBEUI数据进行加密传递。目前,仅定义了基于TCP/IP网络的L2TP。L2TP隧道协议既可用于Internet,也可用于企业内部网。
为了实现在专用或公共IP网络上的安全传输,安全IP隧道模式IPSec使用安全方式封装和加密整个IP包。它首先对IP数据包进行加密,然后将密文数据包再次封装在明文IP包内,通过网络发送到接收端的VPN服务器。VPN服务器对收到的数据包进行处理,在去除明文IP包头,对内容进行解密之后,获得原始的IP数据包,再将其路由到目标网络的接收计算机。
在这三种隧道协议中,点对点隧道协议PPTP和第2层隧道协议L2TP的优点是对用微软公司操作系统的用户来说很方便,因为微软公司已把它们作为路由软件的一部分;缺点是PPTP和L2TP将不安全的IP数据包封装在安全的IP数据包内。PPTP和L2TP适用于远程访问虚拟专用网。安全IP隧道模式IPSec的优点是它定义了一套用于认证、保护私密和数据完整性的标准协议,缺点是微软公司对IPSec的支持不够。IPSec适用于可信的局域网之间的虚拟专用网,即企业内部网VPN应用。
