IP网络上的SNA隧道技术及点对点隧道协议的应用

1.隧道技术的概念

所谓隧道技术是指包括数据封装、传输和解包在内的全过程。传递时所经过的逻辑路径称为“隧道”（Tunnel）。使用隧道可以传递不同协议的数据帧或数据报（或负载）。隧道技术的基本过程是在源局域网与公网的接口处，将协议的数据帧或数据报重新封装在新的报头中发送，新报头提供路由信息，从而使封装的负载数据能通过互联网进行传递。被封装的数据报在隧道的两端点之间通过公共互联网进行路由，在目的局域网与公网的接口处将数据解封装，取出负载，并转发到最终目的地。

目前较成熟的隧道技术包括：①IP网络上的SNA隧道技术。当系统网络结构的数据流通过企业IP网络传送时，SNA数据帧将被封装在UDP和IP协议包头中。②IP网络上的Novell NetWare IPX隧道技术。当一个IPX数据包被发送到NetWare服务器或IPX路由器时，服务器或路由器用UDP和IP包头封装IPX数据包后，通过IP网络发送。另一端的IP-TO-IPX路由器在去除UDP和IP包头之后，把数据包转发到IPX目的地。

2.隧道类型

1）自愿隧道。用户或客户端计算机可通过发送VPN请求配置和创建一条自愿隧道。此时，用户端计算机作为隧道客户方成为隧道的一个端点。自愿隧道需有一条IP连接（通过局域网或拨号线路），客户端计算机必须安装适当的隧道协议。使用拨号方式时，客户端必须在建立隧道之前创建与公共互联网络的拨号连接。典型例子是互联网拨号用户必须在创建互联网隧道之前拨通本地ISP取得与互联网的连接。

2）强制隧道。由支持VPN的拨号接入服务器配置和创建一条强制隧道。此时，用户端计算机不作为隧道端点，而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端，成为隧道的一个端点。

自愿隧道技术为每个客户创建独立的隧道，强制隧道和隧道服务器之间建立的隧道可被多个拨号客户共享，而不必为每个客户建立一条新隧道。因此，一条隧道中可能会传递多个客户的数据信息，只有在最后一个隧道用户断开连接之后才终止整条隧道。

3.隧道目标

虚拟专网的重点在于建立安全的数据通道，构造安全通道的协议必须保证以下几条。

数据真实性：通信主机必须经过授权，有抵抗地址冒认（IP Spoofing）的能力。

数据完整性：接收到的数据必须与发送时一致，有抵御数据被篡改的能力。

通道机密性：提供强有力加密手段，必须使偷听者不能破解拦截到的通道数据。

提供动态密钥交换功能：提供密钥中心管理服务器，必须具备防止数据重演的功能，保证通道不能被重演。

提供安全防护措施和访问控制：要有抵抗非法用户通过VPN通道攻击企业网络的能力，并可对VPN通道进行访问控制。

4.隧道协议

为创建隧道，隧道的客户机和服务器双方必须使用相同的隧道协议。按照OSI参考模型划分，隧道技术可分别以第二层或第三层隧道协议为基础。第二层隧道协议对应OSI模型数据链路层，使用帧作为数据交换单位。PPTP、L2TP和L2F（第二层转发）都属于第二层隧道协议，都是将数据封装在点对点协议（PPP）帧中通过互联网发送。对PPTP和L2TP这样的第二层隧道协议，创建隧道的过程类似于在双方之间建立会话。

隧道的两个端点必须同意创建隧道并协商隧道各种配置变量，如地址分配、加密或压缩等参数。多数情况下，通过隧道传输的数据都使用基于数据报的协议发送。另外，隧道维护协议用来作为管理隧道的机制，包括对隧道的创建、维护和终止。

第三层隧道协议对应OSI模型中的网络层，使用包作为数据交换单位。IPSec隧道模式属于第三层隧道协议，把IP包封装在附加的IP报头中通过IP网络传送。第三层隧道技术通常假定所有配置问题已通过手工过程完成。该协议不对隧道维护。

下面介绍VPN的主要隧道协议：点对点协议、点对点隧道协议、第二层转发协议（L2F）、第二层隧道协议以及SOCKS v5协议。

（1）点对点协议

点对点协议（PPP）为基于点对点连接的多协议自寻址数据包的传输提供一个标准方法。PPP最初设计是为两个对等结构之间的IP流量的传输提供一种封装协议。在TCP/IP协议栈中，是同步调制连接的数据链路层协议。

PPP主要由以下几部分组成。

●封装：封装提供不同网络层协议同时通过统一链路的多路技术，可封装多协议数据报。

●链路控制协议（LCP）：提供的链路控制协议LCP就封装格式选项自动达成一致，处理数据包大小变化，探测looped-back链路和其他普通的配置错误，以及终止链路。

●网络控制协议（NCP）：一种扩展链路控制协议，用于建立、配置、测试和管理数据链路连接。

●配置：通过链路控制协议使PPP链路容易配置。该机制也应用于其他控制协议。

为建立点对点链路通信，PPP链路的每一端，必须首先发送LCP包以便设定和测试数据链路。链路建立后，LCP可选设备才可被认证。然后，PPP必须发送NCP包以便选择和设定一个或更多的网络层协议。一旦每个被选择的网络层协议都被设定好，来自每个网络层协议的数据报就能在链路上发送，链路将保持通信设定不变，直到外在的LCP和NCP关闭链路，或发生一些外部事件（如休止状态的定时器期满或网管员干涉）。

PPP协议结构见表10-2。

表10-2 PPP协议结构

Flag：表示帧的起始或结束，由二进制序列01111110构成。

Address：包括二进制序列11111111，标准广播地址（PPP不分配个人栈地址）。

Control：二进制序列00000011，要求用户数据传输采用无序帧。

Protocol：识别帧的Information字段封装的协议。

Information：0或多J字节，包含Protocol字段中指定的协议数据报。

FCS：帧校验序列字段，通常为16位。PPP的执行可通过预先协议采用32位FCS来提高差错检测效果。

（2）点对点隧道协议

点对点隧道协议（Point to Point Tunneling Protocol，PPTP）是一种支持多协议虚拟专用网络的网络技术。通过该协议，远程用户能通过装有点对点协议的系统，安全访问某企业或机构的网络，并能拨号进入本地ISP，通过互联网安全链接到企业网络。PPTP协议将控制包与数据包分开，控制包采用TCP控制，用于严格的状态查询及信令信息，数据包部分先封装在PPP协议中，然后封装到GRE（通用路由协议封装）V2协议中。

PPTP是点对点协议PPP的扩展，增强了PPP的身份验证、压缩和加密机制。PPTP协议允许对IP或IPX数据流进行加密，然后封装在IP包头中通过企业IP网或公共互联网发送。PPTP与路由和远程访问服务程序一起安装，通过使用路由和远程访问向导，可为远程访问和请求拨号路由连接启用PPTP端口。(www.xing528.com)

PPTP提供对专用数据封装和加密的主要VPN服务。

●封装：使用通用路由封装头文件和IP头数据包装PPP帧（IP数据包）。在IP头文件中，是与VPN客户机和VPN服务器对应的源和目标IP地址。图10-25显示了封装。

图10-25 PPP帧的PPTP封装

●加密：通过使用在MS-CHAP或EAP-TLS身份验证过程中生成的密匙，PPTP帧以MPPE方式进行加密。

PPTP可用于IP网络建立PPP会话隧道。这种配置下，PPTP隧道和PPP会话运行在两台相同的计算机上，呼叫方充当PNS。PPTP使用客户机/服务器结构分离当前网络访问服务器具备的一些功能并支持虚拟专用网络。PPTP作为呼叫控制和管理协议，允许服务器控制来自PSTN或ISDN的拨入电路交换呼叫访问并初始化外部电路交换连接，PPTP只能通过PAC和PNS实施，其他系统无须知道PPTP，如拨号网络可与PAC连接而无须知道PPTP。

PPTP使用GRE扩展版本传输用户PPP包，允许为在PAC和PNS之间传输用户数据的隧道提供低层拥塞控制和流控制。这种机制允许高效使用隧道可用带宽并避免不必要的重发和缓冲区溢出。PPTP没有规定特定算法用于低层控制，但定义一些通信参数支持算法工作。

（3）第二层转发协议

第二层转发协议（Level 2 Forwarding protocol，L2F）用于建立跨越公共网络的安全隧道，将ISP POP连接到企业内部网关。这个隧道建立了用户与企业客户网络间的虚拟点对点连接。

L2F允许高层协议的链路层隧道技术。使用这样的隧道，使得把原始拨号服务器位置和拨号协议连接终止与提供的网络访问位置分离成为可能。L2F允许在L2F中封装PPP/SLIP包。ISP NAS与家庭网关都需要共同了解封装协议，这样才能在互联网上成功传输或接收SLIP/PPP包。

（4）第二层隧道协议

第二层隧道协议（Layer 2 Tunneling Protocol，L2TP）是国际标准隧道协议。它结合了PPTP协议以及L2F协议的优点，能以隧道方式使PPP包通过各种网络协议，如ATM、SONET和帧中继。它无任何加密措施，与IPSec结合使用提供隧道验证。

L2TP用来整合多协议拨号服务至现有互联网服务提供商。PPP定义多协议跨越第二层点对点链接的封装机制。当用户通过使用某一种技术（如拨号POTS、ISDN、ADSL等）通过第二层并连接到网络访问服务器（NAS），然后在此连接上运行PPP。这种配置中，第二层终、端点和PPP会话终点处于相同的物理设备NAS中。

L2TP扩展了PPP模型，允许第二层和PPP终点处于不同的由包交换网络相互连接的设备通过L2TP，用户在第二层连接到一个访问集中器（如调制解调器池、ADSL等），然后集中器将单独将包从PPP帧隧道送至NAS。这样可把PPP包实际处理过程与L2连接的终点分离开来。这种分离，其好处是L2连接可在本地集中器上终止，然后通过共享网络，如帧中继电路或互联网扩展逻辑PPP会话，而不用在NAS上终止。直接在NAS上终止L2连接与使用L2TP没有任何功能上的区别。

L2TP协议也用来解决多链接分离问题。多链接PPP一般用来集中ISDN-B通道，需构成多链接捆绑的所有通道在单网络访问服务器上的组合。因L2TP使得PPP会话可出现在接收会话的物理点之外的位置，用来使所有的通道出现在单个的NAS上。即使是在物理呼叫分散在不同物理位置的NAS上的情况之下，也允许多链接操作。

L2TP使用两种信息类型：控制信息和数据信息。控制信息用于隧道和呼叫的建立、维持和清除；数据信息用于封装隧道所携带的PPP帧。控制信息利用L2TP中的一个可靠控制通道来确保发送。当发生包丢失时，不转发数据信息。

第二层隧道协议允许对IP、IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如IP、X.25、帧中继或ATM。L2TP依赖于加密服务的IPSec。

基于L2TP的虚拟专用网络连接为L2TP与IPSec的组合。VPN客户机和VPN服务器必须支持L2TP与IPSec。

L2TP与路由和远程访问服务程序一起安装。通过使用路由和远程访问向导，可为传入的远程访问和请求拨号路由连接启用L2TP端口。基于IPSec的L2TP提供专用数据的封装和加密的主要VPN服务。

1）封装：基于IPSec的L2TP数据包的封装由两层组成。

L2TP封装：将PPP框架（IP数据包、IPX数据包或NetBEUI）包装成L2TP。

IPSec封装：封装安全措施负载量（ESP）头文件和尾文件、提供消息完整性和身份验证的IPSec身份验证尾文件，以及最后的IP头数据包装L2TP结果消息。在IP头文件中含有与VPN客户机和VPN服务器对应的源及目标IP地址。图10-26为数据包的L2TP和IPSec封装。

2）加密：通过在IPSec身份验证过程中生成的密匙，使用IPSec加密机制加密L2TP消息。

PPTP和L2TP都使用PPP协议对数据封装，然后附加包头传输，但两者存在不同：

PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。

L2TP可在IP（使用UDP）、帧中继永久虚拟电路、X.25虚拟电路或ATM VCs网络上使用。

图10-26 PPP数据包的L2TP和IPSec封装

PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP用户可针对不同的服务质量创建不同的隧道。

L2TP可提供包头压缩。压缩包头，系统开销占4B，而PPTP协议占6B。

L2TP可提供隧道验证，而PPTP则不支持隧道验证。但当L2TP或PPTP与IPSec共同使用时，可由IPSec提供隧道验证。

（5）SOCKSv5协议

SOCKS协议提供一个框架，保证了TCP和UDP域中的客户机/服务器应用程序能更方便与安全地使用网络防火墙所提供的服务。该协议介于应用层和传输层之间的“会话层”，因而不提供网络层网关服务。SOCKS提供通用框架使这些协议安全、透明地穿过防火墙。SOCKSv5（防火墙安全会话转换协议）支持UDP，同时还采用地址解析方案以支持域名和IPv6地址。为实现SOCKS协议，通常需重新编译或重新链接基于TCP的客户端应用程序，以使用SOCKS库中相应的封装程序。

SOCKSv5工作在会话层，可作为建立高度安全的VPN基础。该协议现已被IETF建议作为建立VPN的标准。

SOCKSv5的优势是细致地进行访问控制。在网络层只能根据源目的地的IP地址允许或拒绝被通过，而在会话层控制手段则更多，能与低层协议如IPv4、IPSec、PPTP、L2TP一起使用。

用SOCKSv5的代理服务器可隐藏网络地址结构，为认证、加密和密钥管理提供插件模块，让用户自由采用所需要的技术。SOCKSv5可根据规则过滤数据流，包括Java Applet和Actives控制。

SOCKSv5的缺点是安全性能比低层次协议差，必须制定更复杂的安全管理策略。因此，最适合客户机/服务器连接模式，适用于外部网VPN和远程访问VPN。