隧道技術(tunneling)是一種通過使用網際網路絡的基礎設施在網路之間建立一條虛擬鏈路以傳遞資料的方式。使用隧道傳遞的資料可以是不同協議的pdu,隧道將其他協議的pdu重新封裝後通過網路傳送,新的pdu提供路由資訊,以便通過網際網路傳遞被封裝的資料。由於pdu經過重新封裝,使得資料的傳送方和接收方就像在一條專有「隧道」中進行資料傳輸和通訊,隧道技術因此得名。
一般來說,隧道是在高層(或同等層)分組中攜帶低層資料。例如,在乙個ipv4或ipv6分組中攜帶ipv4資料,在乙個udp、ipv4或ipv6分組中攜帶乙太網資料。隧道轉變了在頭部中協議嚴格分層的思路,並允許形成覆蓋網路(即這些「鏈路」實際是其他協議實現的虛擬鏈路,而不是物理連線的網路)。通過隧道的建立,可實現將資料強制送到特定的位址、隱藏私有的網路位址、在ip網上傳遞非ip資料報、提供資料安全支援等功能。
為了建立隧道,隧道兩端的通訊方(一般角色為客戶端和伺服器)必須使用相同的隧道協議。隧道技術可分別以第2層隧道協議或第3層隧道協議為基礎。第2層隧道協議對應於osi模型中的資料鏈路層,使用幀作為資料交換單位,如:點對點隧道協議(point-to-point tunneling protocol, pptp)、第2層隧道協議(l2tp)、第2層**協議(l2f)等。第3層隧道協議對應於osi模型的網路層,使用包作為資料交換單位,如:ip安全協議(ipsec,實際是一套協議包)、ip in ip等。此外還有通用路由封裝(general router encapsulation, gre),它定義了在任意一種網路層協議上封裝任意乙個其它網路層協議。gre使用ipv4或ipv6攜帶流量,因此更像是一種第3層隧道技術。
隧道技術是虛擬專用網路(virtual private network, vpn)以及移動ip等實現的技術基礎。
上述情況說明隧道的乙個重要問題是配置的工作量,這個工作以前一直由手工完成。在通常情況下,隧道配置協議涉及選擇乙個隧道端點,以及對方的ip位址配置位於隧道端點的裝置,也許還需要選擇協議和提供認證資訊。為此出現一些相關技術以協助自動配置或使用隧道。一種從ipv4向ipv6過渡的方法稱為6to4。在6to4中,ipv6分組在乙個ipv4網路中通過隧道傳輸,它的好處在於只需要乙個全球惟一的ipv6位址便可使得整個站點獲得ipv6的連線。
6to4採用特殊的ipv6位址使在ipv4海洋中的ipv6孤島能相互連線。此時ipv6的出口路由器與其他的ipv6域建立隧道連線。ipv4隧道的末端可從ipv6域的位址字首中自動提取,因為站點的ipv4位址包含在ipv6位址字首中。6to4另乙個特點是它可以自動從ipv6 位址的字首中提取乙個ipv4位址。通過這個機制,站點能夠配置ipv6而不需要向序號產生器構申請ipv6位址空間。這同時也簡化了isp提供商的管理工作。
SSH 隧道技術
ssh 隧道 下面的命令告訴 ssh 1 ssh 2 n f l 5023 localhost 23 user foo.example.com 上述 ssh 命令使用了下面這些選項 2強制 ssh 使用第2版的協議 如果需要和較老的 ssh 一同工作請不要使用這個選項 n表示不使用命令列,或者說只使...
流量操作與隧道技術概述
1.使用場景 滲透測試中經常遇到訪問受限的網路環境 使用隱藏的手段逃避安全檢查措施和溯源追蹤 證明看似嚴格的訪問控制仍然存在弱點 在非受信任的網路中實現安全的資料傳輸 2.分類 ip port 在不受信任的網路中實現安全的通訊,通常使用多種加密技術建立通訊隧道。隧道分類 點到點 ip2ip 端到端 ...
手工隧道的原理 ipv6隧道技術的原理
細說 ipv6 隧道機制原理 網路之所以稱之為網,就是因為它的龐大體系,不存在孤島。那麼隨著 ipv6 的使用,網路之中卻出現了小小的乙個島嶼。為了將兩個協議版本的 網路相互通,我們就需要使用 ipv4 ipv6 隧道機制來完成這項艱鉅的工作,具體是如何做到的呢?接下來我們就詳細的講 解一下隧道技術...