虚拟专用网中的隧道技术(图)

<P>网络隧道（Tunneling）技术就是利用一种网络协议来传输另一种网络协议的技术，它是虚拟专用网所采用的一项关键技术。在虚拟专用网中，原有数据包首先要通过特殊的协议重新加密封装在另一个数据包中，然后再通过公共网络的传输协议（如TCP/IP）在公共网络中传输，当数据包到达虚拟专用网的 VPN设备时，VPN设备首先要对数字签名进行核对，核对无误后才能进行解包形成最初的形式。由于这种技术使用了一种网络传输协议来传输另一种网络传输协议，就像在公共网络中挖出了一条数据据传输的专用隧道一样，因此被称为网络隧道技术。</P>

<P><STRONG taggedby="hylanda">1 隧道的原理</STRONG></P>

<P>隧道技术是一种利用公共网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据可以是使用不同协议封装的数据包，隧道协议将这些其他协议封装的数据包重新加密并封装在新的包头中发送。新的包头提供了路由信息，从而使新封装的数据包能够在隧道的两个端点之间通过公共互联网络进行路由传输。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。隧道中数传的传输过程如图所示。</P>

<P align=center><IMG src="/pic/6/a2008-1-28-734916.jpg" taggedby="hylanda"></P>

<P></P>

<P><STRONG taggedby="hylanda">2 隧道的形成要素</STRONG></P>

<P>要想在公共网络中形成支持点到点连接的隧道，系统中必须具备以下要素。</P>

<P>隧道开通器</P>

<P>具有路由能力的公用网络</P>

<P>一个或多个隧道终止器。</P>

<P>必要时增加一个隧道交换机以增加灵活性</P>

<P>隧道开通器的任务是在公共网络中开出一条隧道中的客户端和服务器，以便新封装的数据包可以在这个隧道中以点到点的传输方式传送到VPN接收服务器。这个任务既可以由专用VPN硬件设备来完成，也可以由具备VPN拨号软件的终端用户计算机、分支机构内部局域网（或合作伙伴、供应商等网络网络）中的具有VPN功能的Extranet路由器、网络服务提供商站点中的具有VPN功能的接入服务器等。</P>

<P>具有路由能力的公共网络的任务是作为网络隧道的载体，完成数据包的路由传输。目前能够提供这种路由传输功能的公共网络主要有因特网和其他一些公共网络。</P>

<P>隧道终止器的任务是使隧道到此终止，不再继续向前延伸，即确定网络隧道的终点，目前，也有多种网络设备和软件可完成此项任务，例如，专门的隧道终止器、企业网络中的隧道交换机、公共网络提供服务商或其他网络提供服务商网络中的Extranet路由器上的VPN网关。</P>

<P>另外，VPN网络中通常还有一个或多个安全服务器。安全服务器除提供防火墙和地址转换功能之外，还通过与隧道设备的通信来提供加密、身份查验和授权功能。它们通常也提供各种信息，如带宽、隧道端点、网络策略和服务等级。</P>