fbpx
维基百科

隧道协议

一月 01, 1970

隧道协议(英語:Tunneling Protocol[1]是一種網路協議,在其中,使用一種網路協議(傳送協議),將另一個不同的網路協議,封裝在負載部份。使用隧道的原因是在不兼容的網路上传输数据,或在不安全網路上提供一個安全路徑。

隧道則是對比分層式的模型,如OSI模型TCP/IP。隧道协议通常(但並非總是)在一個比負載協議還高的層級,或同一層。要了解協議堆疊,負載和傳送協議都須了解。傳統的分層式協議,如OSI模型TCP/IP模型,HTTP协议 ,並不被認為是穿隧協議。隧道是在相隔甚远的客户端和服务器两者之间进行中转,并保持双方通信连接的应用程序。

通用路由封装是一種跑在 IP (IP 號碼為 47)的協議,身為網路層上的網路層的例子,通常是用帶有公開位址的 IP 封包來攜帶帶有 RFC 1918 私用位址的 IP 封包來穿越網際網路。在此例上,傳送和負載協議是相容的,但負載位址和傳送網路是不相容的。

穿隧協議可能使用数据加密來傳送不安全的負載協議。

常見穿隧協議 编辑

  • IPsec
  • 一般路由封裝(GRE),支持多种网络层协议和多路技术
  • IP in IP[2],比GRE更小的负载头,并且适合只有负载一个IP流的情况。
  • L2TP資料連結層穿隧協議)[3]
  • MPLS (多协议标签交换)
  • GTP
  • PPTP(点对点隧道协议) [4]
  • PPPoE(基于以太网的点对点隧道)
  • PPPoA(基于ATM的点对点隧道)
  • IEEE 802.1Q (以太网VLANs)
  • DLSw英语DLSwSNA负载網際網路協議
  • XOT英语XOTX.25数据片负载TCP
  • IPv6 穿隧:6to46in4Teredo
  • Anything In Anything英语Anything In Anything (AYIYA,例如:IPv6 over UDP over IPv4, IPv4 over IPv6, IPv6 over TCP IPv4等)
  • TLS
  • SSH
  • SOCKS
  • HTTP CONNECT命令
  • 各式的電路層級的代理伺服器協議,如Microsoft Proxy Server的Winsock Redirection Protocol或WinGate Winsock Redirection Service.

SSH 编辑

SSH隧道可以通過加密頻道將明文流量導入隧道中。為了建立SSH隧道, SSH客戶端要設定并轉交一個特定本地埠號到遠端機器上。一旦SSH隧道建立,使用者可以連到指定的本地埠號以存取網路服務。本地埠號不用與遠地埠號一樣。

SSH隧道提供一個繞過防火牆,從而連到某些被禁止的網際網路服務的的方法。例如,一個組織可能會禁止使用者不通過組織的代理伺服器過濾器,而直接存取網頁(埠號 80 ),用于監視或控視使用者瀏览網頁。使用者可能不希望讓他們的網頁流量被組織的代理伺服器過濾器所監控或阻擋。如果使用者能連到一個外部的 SSH 伺服器,就有可能建立 SSH 通道,將某個本地端埠號連到遠端網頁伺服器的埠號:80。要連到遠端網頁伺服器,使用者可以將他們的网页浏览器指到http://localhost/。

SSH支持動態埠傳送,允許使用者建立SOCKS代理伺服器。使用者可以設定他的應用程式去使用他們的區域SOCKS代理伺服器。這比建立一個連到單一埠號的SSH隧道更有彈性。使用SOCKS,使用者可以不被限制只能連到事先定義的埠號和伺服器。

作用 编辑

規避防火牆 编辑

一個被防火牆阻擋的協議可被包在另一個沒被防火牆阻擋的協議裡,如HTTP。如果防火牆並沒有排除此種包裝,這技巧可用來逃避防火牆政策。隧道可按要求建立起一条与其他服务器的通信线路,届时使用 SSL 等加密手段进行通信。

另一種基於 HTTP 的穿隧方法使用超文本傳輸協議CONNECT 方法:

客戶端送出 HTTP 的 CONNECT 命令給代理伺服器,代理伺服器會建一個 TCP 連線到特定的 伺服器埠,並轉送伺服器埠和客戶端連線之間的資料。因為這會製造安全漏洞,HTTP 代理伺服器通常會限制 CONNECT 命令。通常只允許基於 TLS/SSL 的 HTTPS 服務。隧道本身不会去解析 HTTP 请求。也就是说,请求保持原样中转给之后的服务器。隧道本身是透明的,客户端不用在意隧道的存在。

加密網路流量 编辑

明文網路流量加密以在互聯網上安全地傳輸。

另見 编辑

参考资料 编辑

  1. ^ Tunneling在台湾译为“穿隧”VPN 虛擬私有網路技術概說 (页面存档备份,存于互联网档案馆
  2. ^ IP Encapsulation within IP (页面存档备份,存于互联网档案馆),RFC2003, C. Perkins,October 1996
  3. ^ Layer Two Tunneling Protocol "L2TP" (页面存档备份,存于互联网档案馆),RFC 2661, W. Townsley et al.,August 1999
  4. ^ Point-to-Point Tunneling Protocol (PPTP) (页面存档备份,存于互联网档案馆),RFC 2637, K. Hamzeh et al.,July 1999

外部連結 编辑

  • (英文)設定 Windows SSH 穿隧用於 VNC (页面存档备份,存于互联网档案馆
  • . (原始内容存档于2010-04-07). 

本條目部分或全部内容出自以GFDL授權發佈的《自由線上電腦詞典》(FOLDOC)。

一月 01, 1970
隧道协议, 英語, tunneling, protocol, 是一種網路協議, 在其中, 使用一種網路協議, 傳送協議, 將另一個不同的網路協議, 封裝在負載部份, 使用隧道的原因是在不兼容的網路上传输数据, 或在不安全網路上提供一個安全路徑, 隧道則是對比分層式的模型, 如osi模型或tcp, 通常, 但並非總是, 在一個比負載協議還高的層級, 或同一層, 要了解協議堆疊, 負載和傳送協議都須了解, 傳統的分層式協議, 如osi模型或tcp, ip模型, http协议, 並不被認為是穿隧協議, 隧道是在相隔甚远的. 隧道协议 英語 Tunneling Protocol 1 是一種網路協議 在其中 使用一種網路協議 傳送協議 將另一個不同的網路協議 封裝在負載部份 使用隧道的原因是在不兼容的網路上传输数据 或在不安全網路上提供一個安全路徑 隧道則是對比分層式的模型 如OSI模型或TCP IP 隧道协议通常 但並非總是 在一個比負載協議還高的層級 或同一層 要了解協議堆疊 負載和傳送協議都須了解 傳統的分層式協議 如OSI模型或TCP IP模型 HTTP协议 並不被認為是穿隧協議 隧道是在相隔甚远的客户端和服务器两者之间进行中转 并保持双方通信连接的应用程序 通用路由封装是一種跑在 IP IP 號碼為 47 的協議 身為網路層上的網路層的例子 通常是用帶有公開位址的 IP 封包來攜帶帶有 RFC 1918 私用位址的 IP 封包來穿越網際網路 在此例上 傳送和負載協議是相容的 但負載位址和傳送網路是不相容的 穿隧協議可能使用数据加密來傳送不安全的負載協議 目录 1 常見穿隧協議 1 1 SSH 2 作用 2 1 規避防火牆 2 2 加密網路流量 3 另見 4 参考资料 5 外部連結常見穿隧協議 编辑IPsec 一般路由封裝 GRE 支持多种网络层协议和多路技术 IP in IP 2 比GRE更小的负载头 并且适合只有负载一个IP流的情况 L2TP 資料連結層穿隧協議 3 MPLS 多协议标签交换 GTP PPTP 点对点隧道协议 4 PPPoE 基于以太网的点对点隧道 PPPoA 基于ATM的点对点隧道 IEEE 802 1Q 以太网VLANs DLSw 英语 DLSw SNA负载網際網路協議 XOT 英语 XOT X 25数据片负载TCP IPv6 穿隧 6to4 6in4 Teredo Anything In Anything 英语 Anything In Anything AYIYA 例如 IPv6 over UDP over IPv4 IPv4 over IPv6 IPv6 over TCP IPv4等 TLS SSH SOCKS HTTP CONNECT命令 各式的電路層級的代理伺服器協議 如Microsoft Proxy Server的Winsock Redirection Protocol或WinGate Winsock Redirection Service SSH 编辑 SSH隧道可以通過加密頻道將明文流量導入隧道中 為了建立SSH隧道 SSH客戶端要設定并轉交一個特定本地埠號到遠端機器上 一旦SSH隧道建立 使用者可以連到指定的本地埠號以存取網路服務 本地埠號不用與遠地埠號一樣 SSH隧道提供一個繞過防火牆 從而連到某些被禁止的網際網路服務的的方法 例如 一個組織可能會禁止使用者不通過組織的代理伺服器過濾器 而直接存取網頁 埠號 80 用于監視或控視使用者瀏览網頁 使用者可能不希望讓他們的網頁流量被組織的代理伺服器過濾器所監控或阻擋 如果使用者能連到一個外部的 SSH 伺服器 就有可能建立 SSH 通道 將某個本地端埠號連到遠端網頁伺服器的埠號 80 要連到遠端網頁伺服器 使用者可以將他們的网页浏览器指到http localhost SSH支持動態埠傳送 允許使用者建立SOCKS代理伺服器 使用者可以設定他的應用程式去使用他們的區域SOCKS代理伺服器 這比建立一個連到單一埠號的SSH隧道更有彈性 使用SOCKS 使用者可以不被限制只能連到事先定義的埠號和伺服器 作用 编辑規避防火牆 编辑 一個被防火牆阻擋的協議可被包在另一個沒被防火牆阻擋的協議裡 如HTTP 如果防火牆並沒有排除此種包裝 這技巧可用來逃避防火牆政策 隧道可按要求建立起一条与其他服务器的通信线路 届时使用 SSL 等加密手段进行通信 另一種基於 HTTP 的穿隧方法使用超文本傳輸協議的 CONNECT 方法 客戶端送出 HTTP 的 CONNECT 命令給代理伺服器 代理伺服器會建一個 TCP 連線到特定的 伺服器埠 並轉送伺服器埠和客戶端連線之間的資料 因為這會製造安全漏洞 HTTP 代理伺服器通常會限制 CONNECT 命令 通常只允許基於 TLS SSL 的 HTTPS 服務 隧道本身不会去解析 HTTP 请求 也就是说 请求保持原样中转给之后的服务器 隧道本身是透明的 客户端不用在意隧道的存在 加密網路流量 编辑 將明文網路流量加密以在互聯網上安全地傳輸 另見 编辑虛擬私人網路参考资料 编辑 Tunneling在台湾译为 穿隧 VPN 虛擬私有網路技術概說 页面存档备份 存于互联网档案馆 IP Encapsulation within IP 页面存档备份 存于互联网档案馆 RFC2003 C Perkins October 1996 Layer Two Tunneling Protocol L2TP 页面存档备份 存于互联网档案馆 RFC 2661 W Townsley et al August 1999 Point to Point Tunneling Protocol PPTP 页面存档备份 存于互联网档案馆 RFC 2637 K Hamzeh et al July 1999外部連結 编辑 英文 以範例解釋 SSH 隧道 英文 設定 Windows SSH 穿隧用於 VNC 页面存档备份 存于互联网档案馆 英文 詳細解釋 SSH 轉送和穿隧 简体中文 SSH隧道技术应用 原始内容存档于2010 04 07 本條目部分或全部内容出自以GFDL授權發佈的 自由線上電腦詞典 FOLDOC 取自 https zh wikipedia org w index php title 隧道协议 amp oldid 70153268, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。