网络隧道(Tunneling)技术是一种可利用一种网络协议来传输另一种网络协议数据(帧或分组)的技术。如图4.25所示,它主要利用网络隧道协议来实现这种功能,通过隧道协议将其他协议的数据重新封装,然后再通过隧道发送。为了创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。
图4.25 基于隧道技术的网络互连
隧道技术可分别以第2层或第3层隧道协议为基础。第2层隧道协议对应于OSI模型中的第2层(数据链路层),使用帧作为数据交换单位。例如:常用的点对点隧道协议PPTP(Point to Point Tunneling Protocol)和第二层隧道协议L2TP(Layer 2 Tunneling Protocol)均属于第2层隧道协议,是将用户数据封装在点对点协议PPP帧中再进行发送的。
第3层隧道协议对应于OSI模型中的第3层(网络层),使用分组作为数据交换单位。例如:常用的IPIP(IP over IP)隧道协议和IPSec隧道协议(IP 层加密标准协议)均属于第3层隧道协议,是将一个IP分组封装在另一个IP分组中再进行发送的。
在IPSec协议中,定义了两个新的包头增加到IP 分组之中,用于保证 IP 数据分组的安全性。这两个包头由AH(Authentication Header)和 ESP(Encapsulating Security Payload)规定。如图4.26所示,其中,AH用于保证分组的完整性和真实性,通过采用安全哈希算法来对分组进行保护,以防止黑客截断分组或者向网络中插入伪造的分组。而ESP 则用于对需要保护的用户数据进行加密后再封装到IP分组之中,以保证数据的完整性、真实性和私有性。
图4.26 AH和ESP隧道模式下的分组格式
(a)AH隧道模式下的分组格式;(b)ESP隧道模式下的分组格式
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
