linux中ip tunnel的实现及协议简介

一.实现

Linux 中,隧道的实现主要基于两个文件 new_tunnel.c ipip.c

 同时 Linux 定义了一种新的协议类型 --IPIP IPPROTO_IPIP ),与上面所说封包类型类似。

基本思路
 Linux IP Tunnel 的实现也分为两个部件:封装部件和解封部件,分别司职发送和接收。但这两个部分是在不同的层次以不同的方式实现的。封装部件是在数据链路层以虚设备的方式实现。所有源代码见

/usr/src/linux/drivers/net/new_tunnel.c


 为实现封装, Linux 实现一个称为 tunl 的网络设备(类似 loopback 设备),此设备具有其他网络设备共有的特征,对于使用此设备的上层应用来说,对这些网络设备不加区分,调用及处理方法当然也完全一样。


tunnel_init()
tunnel_xmit() new_tunnel.c 中的两个主要过程。
tunnel_init()
初始化与设备 tunl 相关的 device 结构。



 tunnel_xmit() 在从 tunl 设备发送数据时被调用, tunl 设备作为实现 IP 隧道技术的封装部分,在此过程中完成对相应的数据报进行封装所需的全部操作,形成 IPIP 类型的 IP 包,并重新转发此数据包( ip_forward() )。

 解码器在 IP 的上层实现,系统把它作为一个虚的传输层(实际上与传输层毫无关系),具体处理见文件

/usr/src/linux/net/ipv4/ipip.c



 我们知道,每一个 IP 数据包均交由 ip_rcv 函数处理,在进行一些必要的判断后, ip_rcv 对于发送给本机的数据包将交给上层处理程序。对于 IPIP 包来说,其处理函数是 ipip_rcv (就如 TCP 包的处理函数是 tcp_rcv 一样, IP 层不加区分)。也就是说,当一个目的地址为本机的封包到达后, ip_rcv 函数进行一些基本检查并除去 IP 头,然后交由 ipip_rcv 解封。 ipip_rcv 所做的工作就是去掉封包头,还原数据包,然后把还原后的数据包放入相应的接收队列( netif_rx() )。

 从以上 IP Tunnel 实现的思想来看,思路十分清晰,但由于 IP Tunnel 的特殊性,其实现的层次并不单纯。实际上,它的封装和解封部件不能简单地象上面所说的那样分层。 tunl 设备虽应算进链路层,但其发送程序中做了更多的工作,如制作 IPIP 头及新的 IP 头(这些一般认为是传输层或网络层的工作),调用 ip_forward 转发新包也不是一个网络设备应当做的事。可以说, tunl 借网络设备之名,一把抓干了不少工作,真是 高效 。而解封部件宏观上看在网络层之上,解出 IPIP 头,恢复原数据包是它分内的事,但在它解出数据包(即原完整的协议数据包)后,它把这个包放入相应的协议接收队列。这种事可不是一个上层协议干的,这是网络设备中断接收程序的义务。看到了,在这点上,它好象到了数据链路层。


二.协议

1. 点对点隧道协议( PPTP

PPTP 协议允许对 IP IPX NetBEUI 数据流进行加密,然后封装在 IP 包头中通过企业 IP 网络或公共互联网络发送。

2. 2 层隧道协议( L2TP

L2TP 协议允许对 IP IPX NetBEUI 数据流进行加密,然后通过支持点对点数据报传递的任意网络发送,如 IP X.25 ,桢中继或 ATM

3 . 安全 IP IPSec) 隧道模式

IPSec 隧道模式允许对 IP 负载数据进行加密,然后封装在 IP 包头中通过企业 IP 网络或公共 IP 互联网络如 Internet 发送。

隧道协议
 为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。

 隧道技术可以分别以第 2 层或第 3 层隧道协议为基础。上述分层按照开放系统互联( OSI )的参考模型划分。第 2 层隧道协议对应 OSI 模型中的数据链路层,使用桢作为数据交换单位。 PPTP L2TP L2F (第 2 层转发)都属于第 2 层隧道协议,都是将数据封装在点对点协议( PPP )桢中通过互联网络发送。第 3 层隧道协议对应 OSI 模型中的网络层,使用包作为数据交换单位。 IP overIP 以及 IPSec 隧道模式都属于第 3 层隧道协议,都是将 IP 包封装在附加的 IP 包头中通过 IP 网络传送。

 提供 PPTP 客户机和 PPTP 服务器之间的加密通信。 PPTP 客户机是指运行了该协议的 PC 机,如启动该协议的 Windows95/98 PPTP 服务器是指运行该协议的服务器,如启动该协议的 WindowsNT 服务器。 PPTP PPP 协议的一种扩展。它提供了一种在互联网上建立多协议的安全虚拟专用网( VPN )的通信方式。远端用户能够透过任何支持 PPTP ISP 访问公司的专用网。

 通过 PPTP ,客户可采用拨号方式接入公用 IP 网。拨号用户首先按常规方式拨到 ISP 的接入服务器( NAS ),建立 PPP 连接;在此基础上,用户进行二次拨号建立到 PPTP 服务器的连接,该连接称为 PPTP 隧道,实质上是基于 IP 协议的另一个 PPP 连接,其中的 IP 包可以封装多种协议数据,包括 TCP IP IPX NetBEUI PPTP 采用了基于 RSA 公司 RC4 的数据加密方法,保证了虚拟连接通道的安全。对于直接连到互联网的用户则不需要 PPP 的拨号连接,可以直接与 PPTP 服务器建立虚拟通道。 PPTP 把建立隧道的主动权交给了用户,但用户需要在其 PC 机上配置 PPTP ,这样做既增加了用户的工作量,又会给网络带来隐患。另外, PPTP 只支持 IP 作为传输协议。

2 层转发( L2F
L2F Cisco 公司提出隧道技术,作为一种传输协议 L2F 支持拨号接入服务器将拨号数据流封装在 PPP 桢内通过广域网链路传送到 L2F 服务器(路由器)。 L2F 服务器把数据包解包之重新注入( inject) 网络。与 PPTP L2TP 不同, L2F 没有确定的客户方。应当注意 L2F 只在强制隧道中有效。(自愿和强制隧道的介绍参看 隧道类型 )。

2 层隧道协议( L2TP
L2TP 隧道协议是典型的被动式隧道协议,它结合了 L2F PPTP 的优点,可以让用户从客户端或访问服务器端发起 VPN 连接。 L2TP 是把链路层 PPP 帧封装在公共网络设施如 IP ATM 、帧中继中进行隧道传输的封装协议。

L2TP 主要由 LAC(L2TP Access Concentrator) LNS(L2TP Network Server) 构成, LAC 支持客户端的 L2TP ,用于发起呼叫、接收呼叫和建立隧道; LNS 是所有隧道的终点, LNS 终止所有的 PPP 流。在传统的 PPP 连接中,用户拨号连接的终点是 LAC L2TP 使得 PPP 协议的终点延伸到 LNS

L2TP 的好处在于支持多种协议,用户可以保留原有的 IPX Appletalk 等协议或公司原有的 IP 地址。 L2TP 还解决了多个 PPP 链路的捆绑问题, PPP 链路捆绑要求其成员均指向同一个 NAS(Network Access Server) L2TP 可以使物理上连接到不同 NAS PPP 链路,在逻辑上的终结点为同一个物理设备。 L2TP 还支持信道认证,并提供了差错和流量控制。

L2TP 利用 IPsec 增强了安全性,支持数据包的认证、加密和密钥管理。 L2TP/IPSec 因此能为远程用户提供设计精巧并有互操作性的安全隧道连接。这对安全的远程访问和安全的网关之间连接来说,它是一个很好的解决方案。因此,安全的 VPN 需要同时解决好 L2TP IPSec 这两个不同的问题。 L2TP 协议解决了穿过 IP 网络的不同用户协议的转换问题; IPSec 协议(加密 / 解密协议)解决了通过公共网络传输信息的保密问题。

IP 网上的 L2TP 使用 UDP 和一系列的 L2TP 消息对隧道进行维护。 L2TP 同样使用 UDP L2TP 协议封装的 PPP 桢通过隧道发送。可以对封装 PPP 桢中的负载数据进行加密或压缩。 PPTP L2TP

PPTP L2TP 都使用 PPP 协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似,但是仍存在以下几方面的不同:

PPTP
要求互联网络为 IP 网络。 L2TP 只要求隧道媒介提供面向数据包的点对点的连接。 L2TP 可以在 IP (使用 UDP ),桢中继永久虚拟电路( PVCs),X.25 虚拟电路( VCs )或 ATM VCs 网络上使用。

PPTP
只能在两端点间建立单一隧道。 L2TP 支持在两端点间使用多隧道。使用 L2TP ,用户可以针对不同的服务质量创建不同的隧道。

L2TP
可以提供包头压缩。当压缩包头时,系统开销( overhead )占用 4 个字节,而 PPTP 协议下要占用 6 个字节。

L2TP
可以提供隧道验证,而 PPTP 则不支持隧道验证。但是当 L2TP PPTP IPSEC 共同使用时,可以由 IPSEC 提供隧道验证,不需要在第 2 层协议上验证隧道。

IPSec
隧道模式
IPSec IP 层上对数据包进行高强度的安全处理,提供数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可以享用 IP 层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少密钥协商的开销,也降低了产生安全漏洞的可能性。 IPSec 可连续或递归应用,在路由器、防火墙、主机和通信链路上配置,实现端到端安全、虚拟专用网络( VPN )和安全隧道技术。

IPSEC 是第 3 层的协议标准,支持 IP 网络上数据的安全传输。本文将在 高级安全 一部分中对 IPSEC 进行详细的总体介绍,此处仅结合隧道协议讨论 IPSEC 协议的一个方面。除了对 IP 数据流的加密机制进行了规定之外, IPSEC 还制定了 IPoverIP 隧道模式的数据包格式,一般被称作 IPSEC 隧道模式。一个 IPSEC 隧道由一个隧道客户和隧道服务器组成,两端都配置使用 IPSEC 隧道技术,采用协商加密机制。

 为实现在专用或公共 IP 网络上的安全传输, IPSEC 隧道模式使用的安全方式封装和加密整个 IP 包。然后对加密的负载再次封装在明文 IP 包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文 IP 包头,对内容进行解密之后,获的最初的负载 IP 包。负载 IP 包在经过正常处理之后被路由到位于目标网络的目的地。

IPSEC
隧道模式具有以下功能和局限:
只能支持 IP 数据流
工作在 IP 栈( IPstack )的底层,因此,应用程序和高层协议可以继承 IPSEC 的行为。
由一个安全策略(一整套过滤机制)进行控制。安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制以及验证方式。当需要建立通讯时,双方机器执行相互验证,然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密机制进行加密,然后封装在隧道包头内。

  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值