隧道技术的实质是如何利用一种网络层的协议来传输另一种网络层的协议，其基本功能是封装和加密，主要利用隧道协议来实现。封装是构建隧道的基本手段。从隧道的两端来看，封装就是用来创建、维持和撤销一个隧道，来实现信息的隐蔽和抽象。而如果流经隧道的数据不加密，那么整个隧道就暴露在公共网络中，VPN的安全性和私有性就得不到体现。

网路隧道技术涉及了3种网络协议：网络隧道协议、隧道协议下面的承载协议和隧道协议所承载的被承载协议。如图所示

隧道协议作为VPN IP层的底层，将VPN IP分组进行安装封装；隧道协议同时作为公用IP网的一种特殊形式，将封装的VPN分组利用公网内的IP协议栈进行传输，以实现隧道内的功能。隧道协议在这个协议体系中起着承上启下的作用。

隧道协议存在多种可能的实现方式，按照工作的层次，可分为两类：一类是二层隧道协议，用于传输二层网络协议，它主要应用于构建拨号VPN（Access VPN）；另一类是三层隧道协议，用于传输三层网络协议，它主要应用于构建内部网VPN（Intranet VPN）和外联网（VPN Extranet VPN）。

隧道协议二层隧道协议

二层隧道协议指用公用网络来封装和传输二层（数据链路层）协议，此时在隧道内传输的是数据链路层的帧。工作原理如图所示

在点到点的二层链路上，最常用的二层协议是PPP协议，隧道协议实现中，首先将IP分组封装在二层的PPP协议帧中，也就是会所，先把各种网络协议封装在PPP中，再把整个数据包装入二层隧道协议中。这种双层封装方法形成的数据包在公用网络中传输。

第二层隧道协议具有简单易行的优点，但是他没的可扩展性不太好，而且提供内在的安全机制安全强度低，因此它们不支持企业和企业的外部客户以及供应商之间通信的保密性需求，不适合用来构建连接企业内部网和企业的外部客户和供应商的企业外部网VPN。

隧道协议三层隧道协议

三层隧道协议是用公用网来封装和传输三层（网路层）协议（如IP、IPX、AppleTalk等），此时在隧道内传输的是网路层的分组。三层隧道协议并非是一种很新的技术，早已出现的RFC 1701 通路路由封装协议就是一个三层隧道协议。IETF制定的IP层加密标准协议IPSec 也是一个三层速到协议，利用IPSec（ESP/AN）的隧道模式构成的VPN隧道。三层隧道协议的协议栈如图所示，

对于构建VPN来说，隧道技术是一个关键技术。它用来在IP公网中国仿真条点到点的通路，实现两个节点间（VPN网关之间，或VPN网关与VPN远程能过户之间）的安全通信，使数据包在公共网络上的专用隧道内出传输。

隧道的基本组成包括：隧道启动结点；隧道终结结点；IP网等路由的分组网络。

隧道的启动和终止结点可由许多网络设备和软件来实现。例如：ISP接入服务器、企业网防火墙，或者其他支持VPN的设备主机等。这里统称为VPN结点，其功能还可能包括：防火墙和地址转换、数据加密、身份鉴别和授权的功能。

隧道技术是一种通过使用网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息 ,从而使封装的负载数据能够通过互联网络传递。为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。隧道技术可以分别以第 2层或第 3层隧道协议为基础(分层按照开放系统互联(OSI)的参考模型划分)。第 2层隧道协议对应 OSI 模型中的数据链路层,使用帧作为数据交换单位。PPTP,L2TP和 L2F(第 2层转发)都属于第 2层隧道协议 ,都是将数据封装在点对点协议(PPP)帧中通过互联网络发送。第 3层隧道协议对应 OSI模型中的网络层 ,使用包作为数据交换单位。IP over IP以及 IPSec 隧道模式都属于第3 层隧道协议,都是将IP 包封装在附加的 IP包头中通过 IP网络传送。

目前 ,隧道协议已经被应用到许多网络中 ,并逐步制定了相应的技术规范。GPRS隧道协议 GTP(GPRSTunnelling Protocol)是隧道协议在GPRS 网络中的应用实例。

GTP 协议是由GTP 信令和数据传输程序组成的。在信令平台,GTP信令规定了移动台 MS接入 GPRS网络的隧道控制和管理功能要求 ,信令主要执行建立、修改和删除GSN之间隧道功能以及执行移动性管理、位置管理、 路径管理功能。在传输平台 ,GTP利用 GSN 之间建立的隧道传送用户分组数据,并给出了以GTP 为基础的IP组网技术,SGSN、GGSN执行GTP 、UDP或 TCP和 IP 字头封装功能和包括骨干路由器在内对用户分组数据的分段处理功能。

GPRS隧道协议GTP 字头

GTP 字头是由 20 个字节组成的固定格式, 适合全部的 GTP 消息 , GTP 字头组成和隧道标识符格式如图 2 、 图 3 所示。

其中 , 版本比特和 PT 比特合用表示协议类型及版本号 ;SNN 用于指示 SNDCP(子网相关的收敛协议)的N -PDU序号是否被包括 ;消息类型指示 GTP 消息的类型 :路径管理、 隧道管理、 位置管理、 移动性管理等信令消息类型 ;序列号用于信令消息的事务处理标识和隧道传送 T -PDU 的递增序号;TID(隧道标识符)用于指出MM(移动性管理)和 PDP 上下文 。其结构如图 3 所示。

图 3 中 MCC 是移动网国家代码 , MNC 是移动网代码 , MSIN 是移动台识别号 , 属于国际移动用户识别 IMSI 中的一部分。NSAPI 是网络业务访问点标识符 , 用于识别PDP 上下文。

GPRS隧道协议信令平台

与 GPRS移动性管理功能有关的信令平台包括 GPRS连接,GPRS路由区更新和 PDP上下文激活等。GSN 节点之间的信令是由 GPRS 隧道协议 GTP 来执行的。信令平台(协议栈)如图 4 所示。

GTP 信令流与GTP 隧道仅是逻辑上的结合 , 实际上是分开的。一对 GSN -GSN 之间可存在一条或多条路径。每条路径又可能包含一条和多条隧道。GTP 是一种手段 ,通过 GTP 来建立、 使用、 管理和释放隧道。利用保持激活的回送消息来保持路径 , 保证 GSN之间连接中断时能及时检测到。GTP 定义了 2 个相关的 GSN 之间的一组信令消息。GSN 之间(SGSN 和GGSN 之间 ;SGSN 和 SGSN 之间)以及生成 CDR 的网络单元和 CGF 之间的信令消息类型值分配如表 1 所示:

对于信令消息, GTP 字头的用法如下 :

(1)SNN 置 0 ;

(2)消息类型按上表取定为唯一值 ;

(3)长度是指不包括 GTP 字头在内信令消息长度(字节数);

(4)序列号是指一条路径或一条隧道的有效消息号码, 在路径或隧道中发送的每条 GTP 信令消息的序列号是唯一的, 连续序列号范围为 0 至 65535 ;

(5)在全部路径管理消息 、 位置管理消息和移动性管理消息中 TID 置 0。在隧道管理消息中 , TID 用于指出目的地 GSN 中的 MM 和 PDP 上下文 ;

(6)在全部路径管理消息 、 位置管理消息中 , 流标志没有使用置 0。 在隧道管理消息和移动性管理消息中 , 流标志置成所请求的值, 用于指示 GTP 流。信令消息是由用于信令的 GTP 字头加后面跟随着的一系列信息单元组成各种信令消息 , 主要取决于信令消息的类型 , 不同的信令消息类型 GTP 字头后面跟随不同的信令消息。信令消息格式如图 5 所示。

GPRS隧道协议传输平台

隧道用于在一个给定的GSN 对之间为单独的一个MS 承载封装的 T -PDU。出现在 GTP 字头中的关键隧道标志应说明一个特定的 T -PDU 属于哪个隧道。以这样一种格式 , 分组通过 GTP 在一个给定的 GSN -GSN 对之间进行复用和解复用 。在关键字段使用的TID 值是由发生在信令平台上的创建 PDP 上下文建立规程来建立的。

GTP 协议承载 T -PDU 通过 GPRS 骨干网 。 T -PDU 封装在 G -PDU中 , 在一对 GSN 之间的一个隧道中承载。一个 G -PDU 是由一个 GTP 字头和一个 T -PDU 组成的分组。路径协议规定路径 , GTP 字头规定隧道。几个隧道可以复用到一条路径上。帧结构如图6 所示。

对于传输平台消息 , GTP 字头应如下进行使用:

(1)SNN 标志 :如果 SNN 标志置 1 , 则 GTP 字头包括可选的 SNDCP N-PDU 序号。

(2)消息类型置十进制 255 , 表明是一个 T -PDU。

(3)序列号 :用于决定是否丢弃一个收到的 T -PDU。

(4)SNDCP N -PDU序列号:如果 SNN 置 1 , 此序列号应该被包括。在 SGSN 间路由区更新时 , 此序列号被原 SGSN 用来告诉新 SGSN 指派给 T -PDU 包的N -PDU 序列号 。如果一个 T -PDU 包没有被 SNDCP指定序号, 或 T -PDU 包在 LLC层上使用非确认的方式传送 , 那么 SNN 标志应置 0, SNDCP N -PDU 序号应置 255 。

(5)流标志用于识别 T -PDU 属于哪个数据流。流标志是接收方在上下文建立、 更新或 SGSN改变时选择的。

(6)TID:隧道标识符指示该T-PDU所属的隧道。由接收 GSN利用 TID来查找 MM和 PDP的上下文。

GPRS隧道协议路径协议

UDP/IP 是在GTP 的第一版本中唯一规定用来传送 GTP信令消息的路径协议。UDP/IP也作为在无连接路径上的隧道传送无连接 T-PDU的推荐选择。

TCP/IP 作为在一个可靠的面向连接路径上的隧道传送面向连接 T-PDU的推荐选择。

网络隧道简介

用于传输三层网络协议的隧道协议叫三层隧道协议。三层隧道协议并非是一种很新的技术，早已出现的 RFC 1701 Generic Routing Encapsulation（GRE）协议就是个三层隧道协议。新出来的 IETF 的 IP 层加密标准协议 IPSec 协议也是个三层隧道协议。

网络隧道IPSec

IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，它包括网络安全协议 Authentication Header（AH）协议和 Encapsulating Security Payload（ESP）协议、密钥管理协议Internet Key Exchange （IKE）协议和用于网络验证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源验证、数据加密等网络安全服务。

网络隧道GRE

GRE 与 IP in IP、IPX over IP 等封装形式很相似，但比他们更通用。很多协议的细微差异都被忽略，这就导致了它不是建议用在某个特定的“X over Y”进行封装，所以是一种最基本的封装形式。

网络隧道封装

在最简单的情况下，系统接受到一个需要封装和路由的数据报，我们称之为有效报文（Payload）。这个有效报文首先被 GRE 封装然后被称之为 GRE 报文，这个报文接着被封装在 IP 协议中，然后完全由 IP 层负责此报文的向前传输（Forwarded）。我们也称这个负责向前传输的IP 协议为传递（Delivery）协议或传输（Transport）协议。整个被封装的报文具有图2 所示形式： Delivery Header(transpor Protocol) GRE Header(Encapsulation Protocol) Payload Packet(Passenger Protocol) 图2 通过 GRE 传输报文形式 GRE 的作用如下： 多协议的本地网通过单一协议的骨干网传输的服务 将一些不能连续的子网连接起来；这一点用于组建 VPN 扩大了网络的工作范围,包括那些路由网关有限的协议；如 IPX 包最多可以转发16次（既经过16个路由器），而在一个 Tunnel 连接中看上去只经过一个路由器 IPSec IPSec，IP 安全协议，是一组开放协议的总称，在特定的通信方之间提供数据的私有性、完整性保护，并能对数据源进行验证。IPSec 使用 IKE 进行协议及算法的协商，并采用由 IKE 生成的密码来加密和验证。IPSec 用来保证数据包在 Internet 网上传输时的私有性、完整性和真实性。IPSec 在 IP 层提供这些安全服务，对 IP 及所承载的数据提供保护。这些服务是通过两个安全协议 AH 和 ESP，通过加密等过程实现的。这些机制的实现不会对用户、主机或其它 Internet 组件造成影响；用户可以选择不同的加密算法，而不会对实现的其它部分造成影响。

网络隧道IPSec优点

IPSec 提供以下几种网络安全服务：

私有性 － IPsec 在传输数据包之前将其加密，以保证数据的私有性

完整性 － IPsec 在目的地要验证数据包，以保证该数据包在传输过程中没有被替换

真实性 － IPsec 端要验证所有受 IPsec 保护的数据包

反重复 － IPsec 防止了数据包被扑捉并重新投放到网上，即目的地会拒绝老的或重复的数据包；它通过与 AH 或 ESP 一起工作的序列号实现 IPSec 协议本身定义了如何在 IP 数据包中增加字段来保证 IP 包的完整性、私有性和真实性，这些协议还规定了如何加密数据包。使用 IPsec，数据就可以在公网上传输，而不必担心数据被监视、修改或伪造了。IPsec 提供了两个主机之间、两个安全网关之间或主机和安全网关主机的保护。

IPSec 定义了两个新的数据包头增加到 IP 包，这些数据包头用于保证 IP 数据包的安全性。这两个数据包头由AH（Authentication Header）和 ESP（Encapsulating Security Payload）规定。在网关上实现 IPSec，AH 将插到标准IP包头后面，它保证数据包的完整性和真实性，防止黑客截断数据包或向网络中插入伪造的数据包。AH 采用了安全哈希算法来对数据包进行保护。AH 没有对用户数据进行加密。ESP 将需要保护的用户数据进行加密后再封装到IP包中，ESP 可以保证数据的完整性、真实性和私有性。

IPSec 有隧道和传送两种工作方式。在隧道方式中，用户的整个 IP数据包被用来计算 ESP 头，且被加密，ESP 头和加密用户数据被封装在一个新的 IP 数据包中；在传送方式中，只是传输层（如TCP、UDP、ICMP）数据被用来计算 ESP 头，ESP 头和被加密的传输层数据被放置在原IP包头后面。当 IPSec 通信的一端为安全网关时，必须采用隧道方式。

Internet 密钥交换协议（IKE）用于在两个通信实体协商和建立安全相关，交换密钥。安全相关（Security Association）是 IPSec 中的一个重要概念。一个安全相关表示两个或多个通信实体之间经过了身份认证，且这些通信实体都能支持相同的加密算法，成功地交换了会话密钥，可以开始利用 IPSec 进行安全通信。IPSec 协议本身没有提供在通信实体间建立安全相关的方法，利用 IKE 建立安全相关。IKE 定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE中身份认证采用共享密钥和数字签名两种方式，密钥交换采用 Diffie Hellman 协议。

安全相关也可以通过手工方式建立，但是当 VPN 中结点增多时，手工配置将非常困难。2100433B