穿隧協議

本頁使用了標題或全文手工轉換
維基百科,自由的百科全書
網際網路協定套組
應用層
傳輸層
網路層
連結層

穿隧協議(英語:Tunneling Protocol[1]是一種網路協定,在其中,使用一種網路協定(傳送協定),將另一個不同的網路協定,封裝在負載部份。使用隧道的原因是在不相容的網路上傳輸資料,或在不安全網路上提供一個安全路徑。

隧道則是對比分層式的模型,如OSI模型TCP/IP。穿隧協議通常(但並非總是)在一個比負載協定還高的層級,或同一層。要了解協定堆疊,負載和傳送協定都須了解。傳統的分層式協定,如OSI模型TCP/IP模型,HTTP協定 ,並不被認為是穿隧協議。隧道是在相隔甚遠的客戶端和伺服器兩者之間進行中轉,並保持雙方通訊連接的應用程式。

通用路由封裝是一種跑在 IP (IP 號碼為 47)的協定,身為網路層上的網路層的例子,通常是用帶有公開位址的 IP 封包來攜帶帶有 RFC 1918 私用位址的 IP 封包來穿越網際網路。在此例上,傳送和負載協定是相容的,但負載位址和傳送網路是不相容的。

穿隧協議可能使用資料加密來傳送不安全的負載協定。

常見穿隧協議[編輯]

SSH[編輯]

SSH隧道可以通過加密頻道將明文流量匯入隧道中。為了建立SSH隧道, SSH客戶端要設定並轉交一個特定本地埠號到遠端機器上。一旦SSH隧道建立,使用者可以連到指定的本地埠號以存取網路服務。本地埠號不用與遠地埠號一樣。

SSH隧道提供一個繞過防火牆,從而連到某些被禁止的網際網路服務的的方法。例如,一個組織可能會禁止使用者不通過組織的代理伺服器過濾器,而直接存取網頁(埠號 80 ),用於監視或控視使用者瀏覽網頁。使用者可能不希望讓他們的網頁流量被組織的代理伺服器過濾器所監控或阻擋。如果使用者能連到一個外部的 SSH 伺服器,就有可能建立 SSH 通道,將某個本地端埠號連到遠端網頁伺服器的埠號:80。要連到遠端網頁伺服器,使用者可以將他們的網頁瀏覽器指到http://localhost/。

SSH支援動態埠傳送,允許使用者建立SOCKS代理伺服器。使用者可以設定他的應用程式去使用他們的區域SOCKS代理伺服器。這比建立一個連到單一埠號的SSH隧道更有彈性。使用SOCKS,使用者可以不被限制只能連到事先定義的埠號和伺服器。

作用[編輯]

規避防火牆[編輯]

一個被防火牆阻擋的協定可被包在另一個沒被防火牆阻擋的協定裡,如HTTP。如果防火牆並沒有排除此種包裝,這技巧可用來逃避防火牆政策。隧道可按要求建立起一條與其他伺服器的通訊線路,屆時使用 SSL 等加密手段進行通訊。

另一種基於 HTTP 的穿隧方法使用超文字傳輸協定CONNECT 方法:

客戶端送出 HTTP 的 CONNECT 命令給代理伺服器,代理伺服器會建一個 TCP 連線到特定的 伺服器埠,並轉送伺服器埠和客戶端連線之間的資料。因為這會製造安全漏洞,HTTP 代理伺服器通常會限制 CONNECT 命令。通常只允許基於 TLS/SSL 的 HTTPS 服務。隧道本身不會去解析 HTTP 請求。也就是說,請求保持原樣中轉給之後的伺服器。隧道本身是透明的,客戶端不用在意隧道的存在。

加密網路流量[編輯]

明文網路流量加密以在網際網路上安全地傳輸。

另見[編輯]

參考資料[編輯]

  1. ^ Tunneling在台灣譯為「穿隧」VPN 虛擬私有網路技術概說頁面存檔備份,存於網際網路檔案館
  2. ^ IP Encapsulation within IP頁面存檔備份,存於網際網路檔案館),RFC2003, C. Perkins,October 1996
  3. ^ Layer Two Tunneling Protocol "L2TP"頁面存檔備份,存於網際網路檔案館),RFC 2661, W. Townsley et al.,August 1999
  4. ^ Point-to-Point Tunneling Protocol (PPTP)頁面存檔備份,存於網際網路檔案館),RFC 2637, K. Hamzeh et al.,July 1999

外部連結[編輯]

本條目部分或全部內容出自以GFDL授權發佈的《自由線上電腦詞典》(FOLDOC)。

取自「https://zh.wikipedia.org/w/index.php?title=隧道协议&oldid=70153268