二、詳解隧道技術
隧道即基于公共網絡或其它網絡的特殊通道,用以實現數據的封裝傳輸。隧道的本質是對該通道數據流的尋徑和轉發完全不依賴于隧道內載荷數據的地址信息。隧道協議事實上是利用公共或其他網絡的傳輸媒體,在隧道的兩端形成一個邏輯的點對點鏈接,只是這里點到點鏈接傳送的幀信息部分是隧道的載荷數據,如可以是PPP分組、IP分組,甚至是TCP或UDP等報文數據。
2. 1 IPsec協議
IPsec (IP security)是IETF IPsec工作組為在IP層提供通信安全而制定的一個協議族,它包括安全協議部分和密域協商部分。安全協議部分定義對通信的保護規則,密域協商部分定義如何為安全協議協商保護參數。
設計IPse。的目的在于4個方面:為通信提供連接的主機級身份鑒別和數據的分組級源鑒別;為數據的機密性和完整性提供保護;為通信提供有限的流量保護功能;為數據傳輸提供抗重放攻擊等服務,從而提供一定的通信QOS保證。
IPsec的安全協議定義了兩種機制:ESP (Encapsulation Security Payload)和AH (Authentication Header)。
ESP機制能為通信提供機密性和完整性服務,以及為IPsec隧道提供抗重放攻擊等服務。ESP規定如何對IP分組進行IPsec封裝的規則,依據對IP分組的封裝范圍,ESP有傳輸模式和隧道模式兩種模式。如果僅對IP分組的IP載荷(即上層協議數據部分如TCP/UDP等協議數據單元)進行封裝,則稱為傳輸模式ESP封裝;如果對整個IP分組進行封裝傳輸則稱為隧道模式的ESP封裝。這兩種封裝如下圖所示。
![]("http://network.51cto.com/files/uploadimg/20070711/0947561.jpg")
498)this.style.width=498;" border=1>
![]("http://network.51cto.com/files/uploadimg/20070711/0947562.jpg")
498)this.style.width=498;" border=1>
AH機制為通信提供完整性服務以及抗重放攻擊等服務。AH機制為IP分組插入一個AH頭,提供安全服務。
依據AH頭插入分組的位置,可將AH的實施分為兩種模式:一種是將AH插入原IP分組的IP頭和上層協議數據之間,稱傳輸模式的AH封裝;另一種是將AH頭插入原IP分組和一個外部IP之間,稱隧道模式的AH封裝。這兩種封裝如下圖所示。
![]("http://network.51cto.com/files/uploadimg/20070711/0947563.jpg")
498)this.style.width=498;" border=1>
![]("http://network.51cto.com/files/uploadimg/20070711/0947564.jpg")
498)this.style.width=498;" border=1>
2. 2形成隧道的方法
有兩種方法形成隧道:一種稱為封裝隧道,它是通過封裝協議,對上層數據分組進行透明封裝傳輸,從而形成封裝隧道的;另一種稱為加密隧道,它是通過數據加密,形成數據的透明傳輸,從而形成加密隧道的。
加密和封裝是密切相關的,加密本身不能形成隧道,被加密分組后必須通過封裝傳輸,才能形成加密隧道。嚴格地將,封裝是形成隧道的唯一方式。隧道中的數據有不同的存在形式:有明文的、沒有任何形式保護的方式,有密文的方式,也有受完整性保護的方式。加密只是封裝協議提供的一種安全服務。
人們習慣于封裝和加密分開來看。這種習慣來源于實際中兩種主流的封裝協議類:一種為實現多協議傳輸的封裝協議,如L2TP;另一種則強調具有安全功能的隧道封裝協議,如IPseca。
典型的隧道協議包括如下幾種:Microsoft公司的PPTP協議、L2F協議、L2TP協議、Microsoft公司的MPPE協議、Microsoft公司的DESE協議、IP/IP封裝、GRE協議、IPsec協議。
2. 3隧道技術提供的服務
為使通過隧道構建的VPN滿足人們的各種服務需求,如分組的透明傳輸、數據的安全性、服務質量的保證等,隧道技術應能提供以下8種服務:
a)數據安全性服務
VPN隧道機制應能支持不同層次的安全服務。這些安全服務包括不同強度的源鑒別、數據加密和數據完整性服務等。
b)多協議傳輸
構建VPN的另一個主要動機就是借用己有的網絡基礎設施,實現分組在異構網絡上的傳輸。人們通常希望隧道機制能實現對不同類型的協議分組封裝傳輸。
c)信號協議
隧道的端點往往是不固定的,其接入可能是暫時的、隨機的,而且一條隧道往往要跨越不同的管理域。因此,采用手動隧道配置甚至是SNMP的MIB變量進行管理和配置,是低效而且不安全的。為隧道機制設計一個信號協議,以實現隧道的自動建立、配置、維護和關閉,顯然是意義重大的。它大大減少了人為干預,省時省事,又提高了隧道的安全性。
d)復用
這里的復用包含兩方面內容:兩個服務提供商(SP)之間可以同時存在多條隧道;在同一條隧道內,能夠同時封裝多條用戶會話。
復用的好處是顯而易見的:兩個服務商之間同時存在多條隧道,有利于區分通信,以提供不同的QOS保障,達到通信效能的優化;而同一條隧道內封裝多條用戶會話,則有利于會話的集中統一管理,提高協議的實現效率。
e)分組排序、分段與重組功能
VPN既然是對物理租用網絡的功能模擬,顯然用戶也希望它能支持分組排序。支持排序有利于VPN功能應用的透明實施,以及VPN隧道協議的高效實現。隧道機制應支持隧道級的分組分段/重組機制,這有利于提高系統整體效能。隧道級的封裝顯然比借助隧道內的上層協議的分段更省事。
f)隧道維護功能
一個典型的隧道機制應給出何時建立隧道的規則:在網絡開通即永久性建立隧道,還是使用管理命令觸發或是數據驅動方式建立隧道。
典型的隧道機制應該在隧道的存活期間對隧道進行動態維護,以維護其安全性及有效性。隧道機制還應規定如何探測隧道另一端的存活性,以便在對端死亡的時候釋放本地資源。
g)系統開銷最小化
系統開銷的節省包括帶寬節省以及系統處理節省,這種節省的好處是顯而易見的。既然VPN隧道需要通過封裝來實現,增大系統開銷在所難免,設計者們要做的事是盡可能減少這種開銷。
h) QOS的保證
隧道機制作為一種鏈路機制,用戶也希望它為流量提供如延遲、吞吐量、優先級等QOS的保證。
