隧道無線網路技術

⑴ 名詞解釋：OSPF. CIDR IPng 隧道技術

隧道技術及其應用

隧道技術（Tunneling）是一種通過使用互聯網路的基礎設施在網路之間傳遞數據的方式。使用隧道傳遞的數據（或負載）可以是不同協議的數據幀或包。隧道協議將其它協議的數據幀或包重新封裝然後通過隧道發送。新的幀頭提供路由信息，以便通過互聯網傳遞被封裝的負載數據。
這里所說的隧道類似於點到點的連接。這種方式能夠使來自許多信息源的網路業務在同一個基礎設施中通過不同的隧道進行傳輸。隧道技術使用點對點通信協議代替了交換連接，通過路由網路來連接數據地址。隧道技術允許授權移動用戶或已授權的用戶在任何時間、任何地點訪問企業網路。
通過隧道的建立，可實現：
* 將數據流強制送到特定的地址
* 隱藏私有的網路地址
* 在IP網上傳遞非IP數據包
* 提供數據安全支持
近來出現了一些新的隧道技術，並在不同的系統中得到運用和拓展。

隧道技術

為創建隧道，隧道的客戶機和伺服器雙方必須使用相同的隧道協議。隧道技術可分別以第2層或第3層隧道協議為基礎。第2層隧道協議對應於OSI模型的數據鏈路層，使用幀作為數據交換單位。PPTP（點對點隧道協議）、L2TP（第二層隧道協議）和L2F（第2層轉發協議）都屬於第2層隧道協議，是將用戶數據封裝在點對點協議（PPP）幀中通過互聯網發送。第3層隧道協議對應於OSI模型的網路層，使用包作為數據交換單位。IPIP（IP over IP）以及IPSec隧道模式屬於第3層隧道協議，是將IP包封裝在附加的IP包頭中，通過IP網路傳送。無論哪種隧道協議都是由傳輸的載體、不同的封裝格式以及用戶數據包組成的。它們的本質區別在於，用戶的數據包是被封裝在哪種數據包中在隧道中傳輸。

點對點隧道協議
PPTP（Point to Point Tunneling Protocol）提供PPTP客戶機和PPTP伺服器之間的加密通信。PPTP客戶機是指運行了該協議的PC機，如啟動該協議的Windows95/98；PPTP伺服器是指運行該協議的伺服器，如啟動該協議的WindowsNT伺服器。PPTP是PPP協議的一種擴展。它提供了一種在互聯網上建立多協議的安全虛擬專用網（VPN）的通信方式。遠端用戶能夠透過任何支持PPTP的ISP訪問公司的專用網。
通過PPTP，客戶可採用撥號方式接入公用IP網。撥號用戶首先按常規方式撥到ISP的接入伺服器（NAS），建立PPP連接；在此基礎上，用戶進行二次撥號建立到PPTP伺服器的連接，該連接稱為PPTP隧道，實質上是基於IP協議的另一個PPP連接，其中的IP包可以封裝多種協議數據，包括TCP／IP、IPX和NetBEUI。PPTP採用了基於RSA公司RC4的數據加密方法，保證了虛擬連接通道的安全。對於直接連到互聯網的用戶則不需要PPP的撥號連接，可以直接與PPTP伺服器建立虛擬通道。PPTP把建立隧道的主動權交給了用戶，但用戶需要在其PC機上配置PPTP，這樣做既增加了用戶的工作量，又會給網路帶來隱患。另外，PPTP只支持IP作為傳輸協議。

第二層轉發協議
L2F(Layer Two Forwarding protocol )是由Cisco公司提出的可以在多種介質，如ATM、幀中繼、IP網上建立多協議的安全虛擬專用網的通信。遠端用戶能通過任何撥號方式接入公用IP網，首先按常規方式撥到ISP的接入伺服器（NAS），建立PPP連接；NAS根據用戶名等信息，建立直達HGW伺服器的第二重連接。在這種情況下，隧道的配置和建立對用戶是完全透明的。其體系結構見圖1。

第二層隧道協議
L2TP（Layer Two Tunneling Protocol）結合了L2F和PPTP的優點，允許用戶從客戶端或訪問伺服器端建立VPN連接。L2TP是把鏈路層的PPP幀裝入公用網路設施，如IP、ATM、幀中繼中進行隧道傳輸的封裝協議。其體系結構見圖1。
Cisco、Ascend、Microsoft和RedBack公司的專家們在修改了十幾個版本後，終於在1999年8月公布了L2TP的標准RFC2661。目前用戶撥號訪問Internet時，必須使用IP協議，並且其動態得到的IP地址也是合法的。L2TP的好處在於支持多種協議，用戶可以保留原有的IPX、Appletalk等協議或公司原有的IP地址。L2TP還解決了多個PPP鏈路的捆綁問題，PPP鏈路捆綁要求其成員均指向同一個NAS，L2TP則允許在物理上連接到不同NAS的PPP鏈路，在邏輯上的終點為同一個物理設備。L2TP擴展了PPP連接，在傳統的方式中用戶通過模擬電話線或ISDN/ADSL與網路訪問伺服器建立一個第2層的連接，並在其上運行PPP，第2層連接的終點和PPP會話的終點均設在同一個設備上(如NAS)。L2TP作為PPP的擴充提供了更強大的功能，包括允許第2層連接的終點和PPP會話的終點分別設在不同的設備上。
L2TP主要由LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)構成。LAC支持客戶端的L2TP，發起呼叫，接收呼叫和建立隧道；LNS是所有隧道的終點。在傳統的PPP連接中，用戶撥號連接的終點是LAC，而L2TP能把PPP協議的終點延伸到LNS。
L2TP的建立過程如圖2。
1.用戶通過公用電話網或ISDN撥號呼叫本地接入伺服器LAC；LAC接受呼叫並進行基本的識別過程，這一過程可以採用幾種標准，如域名、呼叫線路識別(CLID)或撥號ID業務(DNIS)等。
2.當用戶被確認為合法企業用戶時，就建立一個通向LNS的撥號VPN隧道。
3.企業內部的安全伺服器如TACACS+、RADIUS對撥號用戶進行驗證。
4.LNS與遠程用戶交換PPP信息，分配IP地址。LNS可採用企業專用地址(未注冊的IP地址)或服務提供商提供的地址空間分配IP地址。因為內部源IP地址與目的地IP地址實際上都通過服務提供商的IP網路在PPP信息包內傳送，企業專用地址對提供者的網路是透明的。
5.端到端的數據從撥號用戶傳到LNS。
在實際應用中，LAC將撥號用戶的PPP幀封裝後，傳送到LNS，後者去掉封裝包頭，取出PPP幀，再去掉PPP幀頭，最後獲得網路層數據包。
L2TP方式給服務提供商和用戶帶來了許多方便。用戶不需要在PC板上安裝專門的客戶端軟體，企業網可以使用未注冊的IP地址，並在本地管理認證資料庫，從而降低了應用成本和培訓維護費用。
與PPTP和L2F相比，L2TP的優點在於提供了差錯和流量控制；L2TP使用UDP封裝和傳送PPP幀。面向無連接的UDP無法保證網路數據的可靠傳輸，L2TP使用Nr（下一個希望接受的信息序列號）和Ns（當前發送的數據包序列號）欄位進行流量和差錯控制。雙方通過序列號來確定數據包的順序和緩沖區，一旦丟失數據，根據序列號可以進行重發。
作為PPP的擴展協議，L2TP支持標準的安全特性CHAP和PAP，可以進行用戶身份認證。L2TP定義了控制包的加密傳輸，每個被建立的隧道分別生成一個獨一無二的隨機鑰匙，以便對付欺騙性的攻擊，但是它對傳輸中的數據並不加密。

通用路由封裝
通用路由封裝（GRE：Generic Routing Encapsulation）在RFC1701/RFC1702中定義，它規定了怎樣用一種網路層協議去封裝另一種網路層協議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義，它允許用戶使用IP封裝IP、IPX、AppleTalk，並支持全部的路由協議，如RIP、OSPF、IGRP、EIGRP。通過GRE，用戶可以利用公用IP網路連接IPX網路和AppleTalk網路，還可以使用保留地址進行網路互聯，或對公網隱藏企業網的IP地址。
GRE的包頭包含了協議類型（用於標明乘客協議的類型）；校驗和包括了GRE的包頭和完整的乘客協議與數據；密鑰（用於接收端驗證接收的數據）；序列號（用於接收端數據包的排序和差錯控制）和路由信息（用於本數據包的路由）。
GRE只提供了數據包的封裝，它沒有防止網路偵聽和攻擊的加密功能。所以在實際環境中它常和IPsec一起使用，由IPsec為用戶數據的加密，給用戶提供更好的安全服務。

IP安全協議
IP安全協議（IPSec：IP Security）實際上是一套協議包而不是一個獨立的協議，這一點對於我們認識IPSec是很重要的。從1995年開始IPSec的研究以來，IETF IPSec工作組在它的主頁上發布了幾十個Internet草案文獻和12個RFC文件。其中，比較重要的有RFC2409 IKE（互連網密鑰交換）、RFC2401 IPSec協議、RFC2402 AH驗證包頭、RFC2406 ESP加密數據等文件。
IPSec安全體系包括3個基本協議：AH協議為IP包提供信息源驗證和完整性保證；ESP協議提供加密機制；密鑰管理協議(ISAKMP)提供雙方交流時的共享安全信息。ESP和AH協議都有相關的一系列支持文件，規定了加密和認證的演算法。最後，解釋域（DOI）通過一系列命令、演算法、屬性和參數連接所有的IPSec組文件。

隧道技術應用

虛擬專用網路
VPN是Internet技術迅速發展的產物，其簡單的定義是，在公用數據網上建立屬於自己的專用數據網。也就是說不再使用長途專線建立專用數據網，而是充分利用完善的公用數據網建立自己的專用網。它的優點是，既可連到公網所能達到的任何地點，享受其保密性、安全性和可管理性，又降低網路的使用成本。
VPN依靠Internet服務提供商（ISP）和其他的網路服務提供商（NSP）在公用網中建立自己的專用「隧道」，不同的信息來源，可分別使用不同的「隧道」進行傳輸。
新出台的標准ISE CHEIP6版保證用戶數據的安全加密。由於用戶對企業網傳輸個人數據很敏感，因此集成度更高的VPN技術不久將會流行起來。

Linux 中的IP隧道
為了在TCP/IP網路中傳輸其他協議的數據包，Linux採用了一種IP隧道技術。在已經使用多年的橋接技術中就是通過在源協議數據包上再套上一個IP協議帽來實現。
利用IP隧道傳送的協議包也包括IP數據包，Linux的IPIP包封指的就是這種情況。移動IP（Mobile-IP）和IP多點廣播（IP-Multicast）是兩個流行的例子。目前，IP隧道技術在VPN中也顯示出極大的魅力。
移動IP是在全球Internet上提供移動功能的一種服務，它允許節點在切換鏈路時仍可保持正在進行的通信。它提供了一種IP路由機制，使移動節點以一個永久的IP地址連接到任何鏈路上。與特定主機路由技術和數據鏈路層方案不同，移動IP還要解決安全性和可靠性問題，並與傳輸媒介無關。移動IP的可擴展性使其可以在整個互聯網上應用。

GPRS隧道協議
隨著隧道技術的發展，各種業務已經開始根據本業務的特點制定相應的隧道協議。GPRS（General Packet Radio Service）中的隧道協議GTP（GPRS Tunnel Protocol）就是一例。
GPRS是GSM提供的分組交換和分組傳輸方式的新的承載業務，可以應用在PLMN（Public Land Mobile Network）內部或應用在GPRS網與外部互聯分組數據網（IP、X.25）之間的分組數據傳送，GPRS能提供到現有數據業務的無縫連接。它在GSM網路中增加了兩個節點：服務GPRS支持節點（SGSN—serving GPRS support node）和網關GPRS支持節點（GGSN—Gateway GPRS support node）。
SGSN是GPRS骨幹網與無線接入網之間的介面，它將分組交換到正確的基站子系統（BSS）。其任務包括提供對移動台的加密、認證、會話（session）管理、移動性管理和邏輯鏈路管理。它也提供到HLR等資料庫的連接。
通過GPRS隧道協議可為多種協議的數據分組通過GPRS骨幹網提供隧道。GTP根據所運載的協議需求，利用TCP或UDP協議來分別提供可靠的連接（如支持X.25的分組傳輸）和無連接服務（如IP分組）。

⑵ 什麼是網路中的遂道技術

隧道技術（Tunneling）是一種通過使用互聯網路的基礎設施在網路之間傳遞數據的方式。使用隧道傳遞的數據（或負載）可以是不同協議的數據幀或包。隧道協議將其它協議的數據幀或包重新封裝然後通過隧道發送。新的幀頭提供路由信息，以便通過互聯網傳遞被封裝的負載數據。

⑶ 隧道技術的應用概述

為創建隧道，隧道的客戶機和伺服器雙方必須使用相同的隧道協議。隧道技術可分別以第2層或第3層隧道協議為基礎。第2層隧道協議對應於OSI模型的數據鏈路層，使用幀作為數據交換單位。PPTP（點對點隧道協議）、L2TP（第二層隧道協議）和L2F（第2層轉發協議）都屬於第2層隧道協議，是將用戶數據封裝在點對點協議（PPP）幀中通過互聯網發送。第3層隧道協議對應於OSI模型的網路層，使用包作為數據交換單位。IPIP（IP over IP）以及IPSec隧道模式屬於第3層隧道協議，是將IP包封裝在附加的IP包頭中，通過IP網路傳送。無論哪種隧道協議都是由傳輸的載體、不同的封裝格式以及用戶數據包組成的。它們的本質區別在於，用戶的數據包是被封裝在哪種數據包中在隧道中傳輸。

⑷ 怎麼設置安全機制無線網路

涉及到無線網路安全性設計時，通常應該從以下幾個安全因素考慮並制定相關措施。
（1）身份認證：對於無線網路的認證可以是基於設備的，通過共享的WEP密鑰來實現。
它也可以是基於用戶的，使用EAP來實現。無線EAP認證可以通過多種方式來實現，比如EAP－TLS、EAP－TTLS、LEAP和PEAP。在無線網路中，設備認證和用戶認證都應該實施，以確保最有效的無線網路安全性。用戶認證信息應該通過安全隧道傳輸，從而保證用戶認證信息交換是加密的。因此，對於所有的網路環境，如果設備支持，最好使用EAP－TTLS或PEAP。
（2）訪問控制：對於連接到無線。
網路用戶的訪問控制主要通過AAA伺服器來實現。這種方式可以提供更好的可擴展性，有些訪問控制伺服器在802．1x的各安全埠上提供了機器認證，在這種環境下，只有當用戶成功通過802．1x規定埠的識別後才能進行埠訪問。此外還可以利用SSID和MAC地址過濾。服務集標志符（SSID）是目前無線訪問點採用的識別字元串，該標志符一般由設備製造商設定，每種標識符都使用默認短語，如101即指3COM設備的標志符。倘若黑客得知了這種口令短語，即使沒經授權，也很容易使用這個無線服務。對於設置的各無線訪問點來說，應該選個獨一無二且很難讓人猜中的SSID並且禁止通過天線向外界廣播這個標志符。由於每個無線工作站的網卡都有唯一的物理地址，所以用戶可以設置訪問點，維護一組允許的MAC地址列表，實現物理地址過濾。這要求AP中的MAC地址列表必須隨時更新，可擴展性差，無法實現機器在不同AP之間的漫遊；而且MAC地址在理論上可以偽造，因此，這也是較低級的授權認證。但它是阻止非法訪問無線網路的一種理想方式，能有效保護無線網路安全。
（3）完整性：通過使用WEP或TKIP，無線網路提供數據包原始完整性。
有線等效保密協議是由802．11標準定義的，用於在無線區域網中保護鏈路層數據。WEP使用40位鑰匙，採用RSA開發的RC4對稱加密演算法，在鏈路層加密數據。WEP加密採用靜態的保密密鑰，各無線工作站使用相同的密鑰訪問無線網路。WEP也提供認證功能，當加密機制功能啟用，客戶端要嘗試連接上AP時，AP會發出一個Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密後送回存取點以進行認證比對，如果正確無誤，才能獲准存取網路的資源。現在的WEP也一般支持128位的鑰匙，能夠提供更高等級的無線網路安全加密。在IEEE 802．11i規范中，TKIP：Temporal Key Integrity Protocol（暫時密鑰集成協議）負責處理無線網路安全問題的加密部分。TKIP在設計時考慮了當時非常苛刻的限制因素：必須在現有硬體上運行，因此不能使用計算先進的加密演算法。TKIP是包裹在已有WEP密碼外圍的一層「外殼」，它由WEP使用的同樣的加密引擎和RC4演算法組成。TKIP中密碼使用的密鑰長度為128位，這解決了WEP的密鑰長度過短的問題。
（4）機密性：保證數據的機密性可以通過WEP、TKIP或VPN來實現。
前面已經提及，WEP提供了機密性，但是這種演算法很容易被破解。而TKIP使用了更強的加密規則，可以提供更好的機密性。另外，在一些實際應用中可能會考慮使用IPSec ESP來提供一個安全的VPN隧道。VPN（Virtual Private Network，虛擬專用網路）是在現有網路上組建的虛擬的、加密的網路。VPN主要採用4項安全保障技術來保證無線網路安全，這4項技術分別是隧道技術、密鑰管理技術、訪問控制技術、身份認證技術。實現WLAN安全存取的層面和途徑有多種。而VPN的IPSec（Internet Protocol Security）協議是目前In－ternet通信中最完整的一種無線網路安全技術，利用它建立起來的隧道具有更好的安全性和可靠性。無線客戶端需要啟用IPSec，並在客戶端和一個VPN集中器之間建立IPSec傳輸模式的隧道。
（5）可用性：無線網路有著與其它網路相同的需要，這就是要求最少的停機時間。
不管是由於DOS攻擊還是設備故障，無線基礎設施中的關鍵部分仍然要能夠提供無線客戶端的訪問。保證這項功能所花費資源的多少主要取決於保證無線網路訪問正常運行的重要性。在機場或者咖啡廳等場合，不能給用戶提供無線訪問只會給用戶帶來不便而已。而一些公司越來越依賴於無線訪問進行商業運作，這就需要通過多個AP來實現漫遊、負載均衡和熱備份。
當一個客戶端試圖與某個特定的AP通訊，而認證伺服器不能提供服務時也會產生可用性問題。這可能是由於擁塞的連接阻礙了認證交換的數據包，建議賦予該數據包更高的優先順序以提供更好的QoS。另外應該設置本地認證作為備用，可以在AAA伺服器不能提供服務時對無線客戶端進行認證。
（6）審計：審計工作是確定無線網路配置是否適當的必要步驟。
如果對通信數據進行了加密，則不要只依賴設備計數器來顯示通信數據正在被加密。就像在VPN網路中一樣，應該在網路中使用通信分析器來檢查通信的機密性，並保證任何有意無意嗅探網路的用戶不能看到通信的內容。為了實現對網路的審計，需要一整套方法來配置、收集、存儲和檢索網路中所有AP及網橋的信息，有效保護無線網路安全。

⑸ 德國電信宣布其無線網路幾乎已覆蓋所有高鐵隧道

據telecompaper網站7月19日報道 ，德國電信宣布，它已經為德國ICE高速列車沿線的幾乎所有隧道提供了移動覆蓋。該公司聲稱他們一直努力為高鐵上的客戶提供穩定的網路服務。

Telekom聲稱：他們沿著隧道壁使用開槽電纜為客戶提供移動通信。對於一些較長的隧道，該公司使用光學中繼器系統，沿著鐵路沿線放置小型天線，以實現網路的全覆蓋。該公司也在更新現有技術以提高隧道內的網路速度。例如，它已經為富爾達附近的蘇爾茲霍夫隧道提供了800MHz 頻段的4G LTE網路——現在這項技術已經廣泛被使用。

（編譯：史天陽）

⑹ 什麼是VPN隧道

VPN隧道通常指在PSN骨幹網的VPN節點間或VPN節點與用戶節點間構建的傳VPN數據的虛擬連接。隧道是構建VPN不能缺少的部分，來把VPN數據從一個VPN節點公開傳到另一節點。

對於構建VPN來說，網路隧道(Tunnelling)技術是個關鍵技術。網路隧道技術指的是利用一種網路協議來傳輸另一種網路協議，它主要利用網路隧道協議來實現這種功能。網路隧道技術涉及了三種網路協議，即網路隧道協議、隧道協議下面的承載協議和隧道協議所承載的被承載協議。

(6)隧道無線網路技術擴展閱讀

為創建隧道，隧道的客戶機和伺服器雙方必須使用相同的隧道協議。此外，建立在 TCP/UDP 之上的網路隧道技術近幾年來也有了較快的發展，通過採用 TCP/UDP 協議，避免了網路運營商的過濾，使得真正能夠通過公網來建立加密隧道。

根據所用協議的不同,隧道分為多種類型,類型不一樣的隧道的建立與管理也不盡相同。例如,GRE、MPLS TE等是藉助隧道介面進行的,而LSP則不用藉助隧道介面。

⑺ 隧道安全監控報警系統最大的作用是什麼

1.告警精確度高
智能視頻分析系統內置智能演算法，能排除氣候與環境因素的干擾，有效彌補人工監控的不足，減少視頻監控系統整體的誤報率和漏報率。
2.實時識別報警
基於智能視頻分析和深度學習神經網路技術，對隧道監控區域內的異常行為進行監測，報警信息可顯示在監控客戶端界面，也可將報警信息推送到移動端。
3.全天候運行 穩定可靠
智能視頻監控系統可對監控畫面進行7×24不間斷的分析，大大提高了視頻資源的利用率，減少人工監控的工作強度。
4.告警存儲功能
對隧道監控區域內的異常行為實時識別預警，並將報警信息存儲到伺服器資料庫中，包括時間、地點、快照、視頻等。

⑻ 網路隧道的介紹

對於構建 VPN 來說，網路隧道(Tunnelling)技術是個關鍵技術。網路隧道技術指的是利用一種網路協議來傳輸另一種網路協議，它主要利用網路隧道協議來實現這種功能。網路隧道技術涉及了三種網路協議，即網路隧道協議、隧道協議下面的承載協議和隧道協議所承載的被承載協議。

⑼ 什麼是無線VPDN啊

「無線VPDN」 是中國電信基於CDMA1X/3G 高速分組數據網路，利用L2TP 隧道技術為用戶構建的虛擬專用網路。用戶可以通過無線上網卡+電腦、天翼手機+數據線+電腦、或者內置CDMA模塊的定製終端（如POS機）三種方式，隨時隨地安全連接到企業內網。

⑽ 隧道技術的作用

這里所說的隧道類似於點到點的連接。這種方式能夠使來自許多信息源的網路業務在同一個基礎設施中通過不同的隧道進行傳輸。隧道技術使用點對點通信協議代替了交換連接，通過路由網路來連接數據地址。隧道技術允許授權移動用戶或已授權的用戶在任何時間、任何地點訪問企業網路。
通過隧道的建立，可實現：
* 將數據流強制送到特定的地址
* 隱藏私有的網路地址
* 在IP網上傳遞非IP數據包
* 提供數據安全支持
進入21世紀以來出現了一些新的隧道技術，並在不同的系統中得到運用和拓展。