IP隧道技术：基础

IP隧道技术：基础

隧道技术是一种通过互联网的基础设施的利用网络间传输数据。使用隧道数据传输（或负载）可以是不同协议的数据（正确的话）或包。其他隧道协议的数据包或重新封装在新的包头派新包头提供路由信息。因此，封装的负载数据可以通过互联网。
被封装的数据包被路由的两个端点之间的隧道通过公共网络。逻辑路径通过的数据包封装在一个公共的网络被称为隧道。一旦在网络的终点，数据将被打开并转发到最终目的地。隧道技术是指整个过程包括数据封装、传输和拆包。

隧道中所使用的传输网络可以是任何类型的公共互连网络。本文主要以互联网的普遍应用为例说明，在企业网络上也可以创建一个隧道，经过一段时间的隧道技术的发展和完善，较为成熟的技术包括：
在1.ip网络SNA隧道技术

当系统网络结构（系统网络架构）数据流通过企业IP网络传输时，SNA数据将被封装在包头的UDP和IP协议中。
在2.ip网络novellnetwareipx隧道技术

当一个IPX数据包被发送到网络服务器或IPX路由器，服务器或路由器发送IPX数据包通过UDP和IP包头派通过IP网络，对ip-to-ipx路由器的另一端，除去UDP和IP包头后，该数据包被转发到IPX的目的地。
近年来，开发了一些新的隧道技术。本文将介绍这些新技术，具体包括：
1。点对点隧道协议（PPTP）

PPTP协议允许对IP、IPX或NetBEUI数据流加密，然后封装在IP包头通过企业IP网络或公共网络。
2。第二层隧道协议（L2TP）

L2TP协议允许的IP，IPX或NetBEUI数据流加密，支持任意网络发送，如IP，X.25协议的点对点的数据传输，帧中继或ATM。
三.安全IP（IPSec）隧道模式

IPSec隧道模式允许IP负载数据进行加密，然后封装在IP包头，通过企业IP网络或公共IP网络互联的网络，如Internet。
隧道协议
为了创建隧道，隧道的客户机和服务器都必须使用相同的隧道协议。
隧道技术可以基于第二或第三层隧道协议分别。上述分层是根据开放系统互连参考模型（OSI）分。数据链路层，第二层隧道协议在OSI模型中，使用帧作为数据交换unit.pptp，L2TP和L2F（第二层转发）属于第二层隧道协议，在点对点数据封装协议（PPP）通过互联网发送的帧。第三层隧道协议对应于OSI模型中的网络层，使用数据包作为数据交换单位。两IP IP和IPSec隧道模式属于第三层隧道协议，所有这些都是IP数据包：通过IP网络将T封装在额外的IP包头中。
隧道技术的实现
第二层隧道协议PPTP、L2TP等，创建隧道的过程类似于双方之间建立会话。隧道的两个端点必须同意创建隧道并协商各种配置变量，例如地址分配、加密或压缩。在大多数情况下，通过隧道传输的数据使用数据报协议发送。隧道维护协议用作隧道管理的机制。
第三层隧道技术通常假设所有的问题都是由手工配置过程完成的。这些协议不维护隧道。不像第三层隧道协议，第二层隧道协议（PPTP、L2TP）必须包括创造、维持和终止的隧道。
隧道一旦建立，数据就可以通过隧道发送。隧道客户端和服务器使用隧道数据传输协议准备传输数据。例如，当隧道客户端发送数据到服务器端，客户端首先增加隧道数据传输协议的负载数据的包头，然后把封装的数据通过互联网，和路由数据到隧道服务器端通过互联网。从隧道服务器接收数据包后，隧道数据传输协议包头被删除，和负载数据转发到目标网络。
隧道协议和基本隧道要求
因为第二层隧道协议（PPTP和L2TP）是基于一个完善的PPP协议，它继承了一整套的特点。
用户验证

第二层隧道协议继承了PPP协议的用户认证方法。许多第三层隧道技术假设在隧道的创建，两端点的隧道已理解或验证。唯一的例外是IPSec协议ISAKMP协商隧道端点之间提供相互验证。
令牌卡（令牌）的支持

利用扩展的身份验证协议（EAP），第二层隧道协议可以支持多种验证方法，包括一次性密码（一timepassword），加密（加密计算器计算器）和智能卡。第三层隧道协议还支持使用类似的方法，例如，IPSec协议通过 /奥克利谈判它决定了公共密钥证书验证。
动态地址分配

第二层隧道协议支持客户地址的网络控制协议的基础上动态分配（NCP）协商机制。第三层隧道协议通常假定地址分配进行了隧道的建立。目前，IPSec隧道模式下的地址分配方案仍在发展。
数据压缩

第二层隧道协议支持基于PPP数据压缩。例如，微软的PPTP和L2TP方案使用微软点对点加密协议（MPPE）。IETP正在开发一个类似的第三层隧道协议数据压缩机制。
数据加密

第二层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持MPPE的选择基于RSA和RC4算法。第三层隧道协议可以使用类似的方法，例如，IPSec决定的几个可选的数据加密方法通过ISAKMP /奥克利洽购微软的技术。协议使用IPsec加密保证隧道客户端和服务器之间数据流的安全。
密钥管理

MPPE，第二层协议，依赖于用户生成的密钥验证，并更新它regularly.ipsec公开协商的公共密钥的ISAKMP交换期间，并定期更新。
多协议支持

第二层隧道协议支持多种负载数据协议，使隧道客户访问各种协议的企业网络，如IP，IPX或NetBEUI。相反，第三层隧道协议，如IPSec隧道模式，只能支持目标网络使用IP协议。
数据传输阶段
一旦谈判的4阶段完成后，PPP开始传输数据的双方间的连接。每个传送数据报封装PPP包头和包头将到达接收方后删除。如果数据压缩是在阶段1选择和谈判阶段4完成，数据将压缩之间的传输。同样的，如果你已经选择使用数据加密和完整的谈判中，数据（或压缩数据）将加密后传输。

点对点隧道协议（PPTP）
PPTP是一种第二层协议，PPP数据封装在IP数据包通过IP网络传输，如internet.pptp也可用于特殊的地方networks.rfc草案之间的连接；点对点隧道协议PPTP协议的解释和介绍，草案由PPTP论坛，包括微软、提升1996年6月，在3Com和ECI，会员公司提交IETF。草案的副本可在以下网站获得。
IP网络上的L2TP使用UDP和一系列的L2TP消息来维护tunnel.l2tp也使用UDP L2TP协议封装PPP帧通过隧道发送。加载数据包加密或压缩PPP帧。图8显示了如何组装一个L2TP包在传输之前。
PPTP和L2TP
两PPTP、L2TP封装数据采用PPP协议，然后添加在互联网上数据传输额外的包头。虽然两协议是非常相似的，还有在以下方面存在差异：
PPTP要求网络是IP网络，L2TP隧道只需要媒体提供点对点连接的包oriented.l2tp IP（UDP），帧中继永久虚拟电路（PVC），X.25（VCS）或使用ATM VC的网络虚拟电路。

PPTP只能建立在两ends.l2tp单隧道支持多个隧道两端之间使用。技术，用户可以创建不同的服务质量不同的隧道。

L2TP可以提供包头压缩。当压缩包头，系统开销（开销）占用4个字节，而PPTP协议占用6字节。

L2TP可以提供隧道验证，而PPTP不支持隧道验证。然而，当L2TP或PPTP和IPSec一起使用，可以提供隧道验证IPSec不需要验证的第二层隧道协议。
IPSec隧道模式
IPSec是第三层的协议标准，支持IP网络上数据的安全传输。本文将提供一个详细的概述IPSec在先进的安全的IPSec协议的一部分，只有与隧道协议在这里讨论。除了规定的IP数据流的加密机制，IPSec也发达对ipoverip隧道模式下的数据格式，这是通常被称为IPSec隧道模式下，IPSec隧道由一个隧道客户端和隧道服务器。两端配置为使用IPSec隧道技术并采用协商加密机制。
为了实现在专用或公共IP网络传输的安全，IPSec隧道模式使用一个安全的方式来封装和加密整个IP包。然后加密的负载又是封装在明文IP包头通过网络服务器的隧道。隧道服务器处理接收的数据报，并解密后的明文IP包头的内容，是获得初始负载IP包。负载IP包的路由到目标网络的目的地后正常的处理。
IPSec隧道模型具有以下功能和局限性：
只支持IP数据流

在IP栈底工作（网络协议），应用程序和高层协议继承了IPSec的行为。

它的安全政策控制（一整套过滤机制）。安全策略创建加密和隧道，可以使用和优先次序的核查机制。当一个通信的需要，两机进行相互验证，然后再谈什么加密方法。所有的随后的数据流将通过相互协商的加密机制进行加密，然后封装在隧道包头。
隧道式
自愿隧道（voluntarytunnel）

用户或客户端计算机可以通过发送VPN请求来配置和创建一个自愿隧道。此时，用户端计算机用作隧道客户端，成为隧道的端点。
Forced tunnel (Compulsorytunnel)

通过支持VPN的拨号来配置和创建一个强制隧道。此时，客户端计算机不是隧道端点，而是作为客户端客户机位于客户端计算机和隧道服务器之间的远程访问服务器，它成为隧道的端点。
目前，志愿隧道是最常用的隧道形式，下面将详细介绍以下两种隧道类型。
自愿隧道
一个志愿者建立隧道时，工作站或路由器使用隧道客户端软件创建到目标隧道服务器虚拟连接。要做到这一点，客户端计算机必须安装相应的隧道协议，自愿隧道需要一个IP连接（通过局域网或拨号线）。拨号时使用的客户端必须在建立隧道创建拨号连接到公共网络。一个最典型的例子就是互联网拨号用户必须拨打当地ISP在创建网络隧道与互联网连接。
对于企业内部网络，客户端与企业网络相连，企业网络为隧道服务器提供了封装负载数据的目标数据。
大多数人错误地认为VPN只能使用拨号连接，事实上，VPN只需要支持IP的因特网，有些客户机（如家用PC）可以通过拨号上网来建立IP传输，这只是创建隧道的初步准备，而不是隧道协议。
强制隧道
目前，一些商家提供的拨号接入服务器，可以创建隧道代替拨号客户。这些计算机或网络设备，可以为客户端计算机提供的隧道，包括前端处理器支持PPTP协议（FEP），L2TP接入集线器支持L2TP协议（LAC），或支持IPSec安全网关。本文将以丙烯为例，以正常、FEP必须安装适当的隧道协议，必须能够创建一个隧道，当客户端计算机建立连接。
在互联网上，例如，客户端发送一个拨号呼叫，可以在本地ISP提供的隧道技术的NAS。例如，一个企业可以签署一个协议与ISP和整个国家的ISP企业建立一套FEP。这些FEP可以通过互联网络建立隧道服务器的隧道。隧道服务器连接到企业的专用网络，通过这种方式，可以将不同的地方合并为企业网络侧的单个Internet连接。
因为客户只能使用经FEP创建隧道，它被称为强制隧道。一旦最初的连接成功，所有客户端的数据流将自动通过隧道发送。使用强制隧道，客户端计算机上创建一个单一的PPP连接。当客户拨入NAS，隧道将被创建，所有数据将自动通过tunnel.fep路由可以配置为在指定的隧道服务器的所有拨号客户创建隧道，或配置FEP创建不同的隧道，基于不同的用户名称或目的地。
自愿隧道技术为每个客户独立的隧道。FEP和隧道服务器之间的隧道可以共享由多个拨号用户无需为每个客户建立一个新的隧道。因此，多个客户的数据信息可以在隧道中传输，整个隧道只在最后隧道用户断开连接终止。
先进的安全功能
虽然因特网为创建VPN提供了极大的便利，但它需要建立强大的安全功能，以确保内部网络不受外部攻击，确保通过公共网络传输的企业数据的安全性。
对称加密和非对称加密（特殊密钥和公钥）
对称加密，或私人密钥（也称为常规加密），是由双方共享的秘密密钥，发送方使用加密的数学运算的明文的关键。接收器使用相同的密钥恢复密文到明文。RSA RC4算法，数据加密标准（DES），国际数据加密算法（思想）和鲣鱼加密技术都属于对称加密方法。 U3000
非对称加密和公开密钥，通信双方使用两个不同的密钥，一个是只有私钥由发送者称，另一个是相应的公共密钥，任何人都可以得到公钥，私钥和公钥和加密算法的关联，一个用于数据加密和解密数据的其他。
公钥加密允许信息的数字签名，数字签名使用特殊密钥发送和发送一方加密发送的消息的一部分，在接收到信息后，接收方利用发送者的公钥解密数字签名以验证发送方身份。
证明书
当对称加密使用，同时发送和接收双方使用共享密钥，密钥的分配必须在加密进行通信完成。当非对称加密时，发送方使用一个密钥来加密信息或数字签名，和接收器使用公共密钥解密信息。公钥可以自由分发给那些需要接收加密信息或数字签名信息的聚会，和发送者只需要保证私钥的安全。
为了保证公钥的完整性、公钥一起发布的证书。证书（或公用密钥证书）是一种数据结构，是由证书颁发机构（CA）签署。CA使用自己的私钥对证书进行数字签名。如果接收机知道公钥CA，可以证明证书是由CA，因此包含可靠的信息和有效的公钥发布。
总之，公钥证书提供的身份验证sender.ipsec方便和可靠的方式可以选择使用此方法进行端-端validation.ras可以使用公钥证书来验证用户的身份。
扩展认证协议（EAP）
在以前的文章中提到，PPP只能提供有限的方式verification.eap PPP协议是由IETF提出的允许连接到使用任何方法来验证一个PPP connection.eap有效扩展支持动态添加一个验证插件模块在一个连接的客户端和服务器端。
交易层安全协议（TLS）
EAP-TLS已经提交到IETF为建立基于公钥证书的强大的验证方法的建议草案，EAP-TLS，客户端发送一个用户证书服务器到服务器，并且服务器发送服务器证书给客户端。用户证书提供了一个强大的用户识别信息到服务器；服务器证书保证用户已经连接到预期的服务器。
用户的证书可以存储在拨号客户PC机中，或者存储在外部智能卡中，这样，如果用户不能提供某种形式的用户标识信息（PIN、用户名和密码），就无法访问证书。
IPSec
IPSec是一个端到由IETF设计确保基于IP communication.ipsec支持数据加密数据安全机制，确保数据的完整性。按照IETF的规定，不采用数据加密，使用IPSec验证包头（AH）提供源认证（源认证），确保数据的完整性；使用IPSec封装安全载荷（ESP）提供加密和认证，以确保数据的完整性。IPSec协议下，只有发送者和接收者知道秘密的关键。如果数据验证，接收者可以知道数据来自发送者，没有在传输过程中损坏。
IPSec可以想像为一个低层协议位于TCP / IP协议栈，该层由每台机器上的安全策略和安全关联控制（安全关联）是由发送和接收方协商。安全策略由一组过滤机制和关联的安全行为。如果包的IP地址，协议，和端口号满足过滤机制，数据包将遵守相关的安全行为。
协商安全关联（negotiatedsecurityassociation）
第一包符合过滤机制将导致发送和接受协商安全关联。ISAKMP /奥克利是通过协商采用的标准协议。在ISAKMP /奥克利交流的过程中，两机同意的方式验证和数据安全，互相验证，然后生成后续数据加密共享密钥。
验证包头
通过IP包头和传输包头之间的验证，可以提供IP负载数据的完整性和数据验证。验证包头包括验证数据和序列号，用于验证发送方的身份。它保证了数据在传输过程中没有改变，而且避免了第三parties.ipsec验证包头不提供数据加密；信息将以明文发送。
封装安全包头
为了保证数据的机密性，防止数据被第三方窃取，封装安全负载（ESP）提供了一种加密IP负载的机制，此外，ESP还可以提供数据验证和数据完整性服务，因此，ESP包头可以代替包头在IPSec包中使用。
用户管理
在选择VPN技术，我们必须考虑到管理上的要求。一些大型网络需要存储每个用户的目录信息中心数据存储设备（目录服务），便于管理人员和应用程序的添加，修改和查询信息，每一个访问或隧道服务器应该能够保持自己的内部数据库和存储每个用户的信息，包括用户名，密码，和拨号接入性能。然而，由多个服务器的多个用户帐户的维护是很难及时更新和管理带来很大的困难。因此，大多数的管理者使用目录服务器上建立一个主帐户数据库的方式，主要领域控制器或半径SER有效管理。
RAS支持
微软的远程访问服务器（RAS）使用域控制器或RADIUS服务器来存储每个用户的信息，因为管理员可以在单独的数据库中管理用户信息中的拨号许可信息，域控制器可用于简化系统管理。
微软的RAS最初是作为拨号用户访问服务器。现在，RAS可以作为隧道服务器的PPTP和L2TP协议（NT5将支持L2TP）。这些二层VPN方案继承现有的拨号网络的整个管理基础。
可扩展性
采用循环DNS配置VPN隧道服务器属于安全区之间的请求（securityperimeter），我们可以实现冗余和负载均衡，安全区只有一个外部域名，但有多个IP地址，和负荷可以任意分配的所有IP地址之间。所有的服务器可以使用一个共享数据库，如NT域控制器验证访问请求。
半径
在服务用户拨号远程认证（RADIUS）协议是一种常见的方式来管理远程用户认证和authorization.radius是超轻（轻）基于UDP协议的协议，RADIUS服务器可以放在网络的任何地方为客户提供NAS验证（包括PPP PAP、CHAP、MSCHAP，和EAP）。此外，RADIUS服务器可以将验证请求远程RADIUS服务器提供代理服务。例如，ISP相互合作，通过使用RADIUS代理服务实现漫游用户在世界各地，使用当地ISP提供的VPN拨号连接互联网，如果ISP服务。发现用户名不是本地注册使用r、RADIUS代理将接入请求转发给用户注册的网络，这样，在掌握授权权限的前提下，企业可以有效地利用ISP的网络基础设施，降低企业网络成本。
会计、审计和警报
对VPN系统进行有效的管理，网络管理人员可以随时跟踪和掌握以下情况：系统的用户数量，连接数异常活动，错误，这可能表明设备故障或网络攻击等现象。日志记录和审计和会计信息的实时性，很大的帮助报警或其他错误。例如，网络管理员需要知道谁使用系统多长时间被用来编译清单数据。异常活动可能对系统或制度短缺resources.real-time监测设备不足的迹象可以警告时系统问题的管理员。隧道服务器应该Be能够提供所有上述信息，以及正确处理数据、报表和数据存储设备所需的事件日志。
在NT4.0提供会计审计和RAS，呼叫报警support.radius协议计费请求（称accountingrequest）进行了规定。当RAS向半径电话报名费要求会计档案的建立记录的调用和中断的计划结束后开始。
结论
在这篇文章中所描述的，在windows系统允许用户或企业建立安全、可靠的连接远程服务器带来的VPN服务，分支机构或通过公共或私人网络的其他公司。虽然上述通信过程发生在公共网络中，用户创建一个安全连接使用专用网络进行通信。使用Windows系统的VPN技术可以解决的问题，员工需要访问中央资源时，远程通信的增加和企业的全球运作是普遍的。企业必须能够及时有效地相互沟通。