點(diǎn)到點(diǎn)隧道協(xié)議

本詞條由“科普中國(guó)”科學(xué)百科詞條編寫與應(yīng)用工作項(xiàng)目 審核 。

點(diǎn)對(duì)點(diǎn)隧道協(xié)議，PPTP（Point to Point Tunneling Protocol） ，該協(xié)議是在PPP協(xié)議的基礎(chǔ)上開發(fā)的一種新的增強(qiáng)型安全協(xié)議，支持多協(xié)議虛擬專用網(wǎng)（VPN），可以通過密碼驗(yàn)證協(xié)議（PAP）、可擴(kuò)展認(rèn)證協(xié)議（EAP）等方法增強(qiáng)安全性?？梢允惯h(yuǎn)程用戶通過撥入ISP、通過直接連接Internet或其他網(wǎng)絡(luò)安全地訪問企業(yè)網(wǎng)。

中文名稱

點(diǎn)到點(diǎn)隧道協(xié)議

英文名稱

point-to-point tunneling protocol;PPTP

定　　義

在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)隧道的協(xié)議。

應(yīng)用學(xué)科

通信科技（一級(jí)學(xué)科），通信協(xié)議（二級(jí)學(xué)科）

隧道技術(shù)的實(shí)質(zhì)是如何利用一種網(wǎng)絡(luò)層的協(xié)議來傳輸另一種網(wǎng)絡(luò)層的協(xié)議，其基本功能是封裝和加密，主要利用隧道協(xié)議來實(shí)現(xiàn)。封裝是構(gòu)建隧道的基本手段。從隧道的兩端來看，封裝就是用來創(chuàng)建、維持和撤銷一個(gè)隧道，來實(shí)現(xiàn)信息的隱蔽和抽象。而如果流經(jīng)隧道的數(shù)據(jù)不加密，那么整個(gè)隧道就暴露在公共網(wǎng)絡(luò)中，VPN的安全性和私有性就得不到體現(xiàn)。

網(wǎng)路隧道技術(shù)涉及了3種網(wǎng)絡(luò)協(xié)議：網(wǎng)絡(luò)隧道協(xié)議、隧道協(xié)議下面的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。如圖所示

隧道協(xié)議作為VPN IP層的底層，將VPN IP分組進(jìn)行安裝封裝；隧道協(xié)議同時(shí)作為公用IP網(wǎng)的一種特殊形式，將封裝的VPN分組利用公網(wǎng)內(nèi)的IP協(xié)議棧進(jìn)行傳輸，以實(shí)現(xiàn)隧道內(nèi)的功能。隧道協(xié)議在這個(gè)協(xié)議體系中起著承上啟下的作用。

隧道協(xié)議存在多種可能的實(shí)現(xiàn)方式，按照工作的層次，可分為兩類：一類是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建撥號(hào)VPN（Access VPN）；另一類是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建內(nèi)部網(wǎng)VPN（Intranet VPN）和外聯(lián)網(wǎng)（VPN Extranet VPN）。

隧道協(xié)議二層隧道協(xié)議

二層隧道協(xié)議指用公用網(wǎng)絡(luò)來封裝和傳輸二層（數(shù)據(jù)鏈路層）協(xié)議，此時(shí)在隧道內(nèi)傳輸?shù)氖菙?shù)據(jù)鏈路層的幀。工作原理如圖所示

在點(diǎn)到點(diǎn)的二層鏈路上，最常用的二層協(xié)議是PPP協(xié)議，隧道協(xié)議實(shí)現(xiàn)中，首先將IP分組封裝在二層的PPP協(xié)議幀中，也就是會(huì)所，先把各種網(wǎng)絡(luò)協(xié)議封裝在PPP中，再把整個(gè)數(shù)據(jù)包裝入二層隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包在公用網(wǎng)絡(luò)中傳輸。

第二層隧道協(xié)議具有簡(jiǎn)單易行的優(yōu)點(diǎn)，但是他沒的可擴(kuò)展性不太好，而且提供內(nèi)在的安全機(jī)制安全強(qiáng)度低，因此它們不支持企業(yè)和企業(yè)的外部客戶以及供應(yīng)商之間通信的保密性需求，不適合用來構(gòu)建連接企業(yè)內(nèi)部網(wǎng)和企業(yè)的外部客戶和供應(yīng)商的企業(yè)外部網(wǎng)VPN。

隧道協(xié)議三層隧道協(xié)議

三層隧道協(xié)議是用公用網(wǎng)來封裝和傳輸三層（網(wǎng)路層）協(xié)議（如IP、IPX、AppleTalk等），此時(shí)在隧道內(nèi)傳輸?shù)氖蔷W(wǎng)路層的分組。三層隧道協(xié)議并非是一種很新的技術(shù)，早已出現(xiàn)的RFC 1701 通路路由封裝協(xié)議就是一個(gè)三層隧道協(xié)議。IETF制定的IP層加密標(biāo)準(zhǔn)協(xié)議IPSec 也是一個(gè)三層速到協(xié)議，利用IPSec（ESP/AN）的隧道模式構(gòu)成的VPN隧道。三層隧道協(xié)議的協(xié)議棧如圖所示，

隧道技術(shù)是一種通過使用網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)(或負(fù)載)可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息 ,從而使封裝的負(fù)載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。為創(chuàng)建隧道,隧道的客戶機(jī)和服務(wù)器雙方必須使用相同的隧道協(xié)議。隧道技術(shù)可以分別以第 2層或第 3層隧道協(xié)議為基礎(chǔ)(分層按照開放系統(tǒng)互聯(lián)(OSI)的參考模型劃分)。第 2層隧道協(xié)議對(duì)應(yīng) OSI 模型中的數(shù)據(jù)鏈路層,使用幀作為數(shù)據(jù)交換單位。PPTP,L2TP和 L2F(第 2層轉(zhuǎn)發(fā))都屬于第 2層隧道協(xié)議 ,都是將數(shù)據(jù)封裝在點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)幀中通過互聯(lián)網(wǎng)絡(luò)發(fā)送。第 3層隧道協(xié)議對(duì)應(yīng) OSI模型中的網(wǎng)絡(luò)層 ,使用包作為數(shù)據(jù)交換單位。IP over IP以及 IPSec 隧道模式都屬于第3 層隧道協(xié)議,都是將IP 包封裝在附加的 IP包頭中通過 IP網(wǎng)絡(luò)傳送。

目前 ,隧道協(xié)議已經(jīng)被應(yīng)用到許多網(wǎng)絡(luò)中 ,并逐步制定了相應(yīng)的技術(shù)規(guī)范。GPRS隧道協(xié)議 GTP(GPRSTunnelling Protocol)是隧道協(xié)議在GPRS 網(wǎng)絡(luò)中的應(yīng)用實(shí)例。

GTP 協(xié)議是由GTP 信令和數(shù)據(jù)傳輸程序組成的。在信令平臺(tái),GTP信令規(guī)定了移動(dòng)臺(tái) MS接入 GPRS網(wǎng)絡(luò)的隧道控制和管理功能要求 ,信令主要執(zhí)行建立、修改和刪除GSN之間隧道功能以及執(zhí)行移動(dòng)性管理、位置管理、 路徑管理功能。在傳輸平臺(tái) ,GTP利用 GSN 之間建立的隧道傳送用戶分組數(shù)據(jù),并給出了以GTP 為基礎(chǔ)的IP組網(wǎng)技術(shù),SGSN、GGSN執(zhí)行GTP 、UDP或 TCP和 IP 字頭封裝功能和包括骨干路由器在內(nèi)對(duì)用戶分組數(shù)據(jù)的分段處理功能。

GPRS隧道協(xié)議GTP 字頭

GTP 字頭是由 20 個(gè)字節(jié)組成的固定格式, 適合全部的 GTP 消息 , GTP 字頭組成和隧道標(biāo)識(shí)符格式如圖 2 、 圖 3 所示。

其中 , 版本比特和 PT 比特合用表示協(xié)議類型及版本號(hào) ;SNN 用于指示 SNDCP(子網(wǎng)相關(guān)的收斂協(xié)議)的N -PDU序號(hào)是否被包括 ;消息類型指示 GTP 消息的類型 :路徑管理、 隧道管理、 位置管理、 移動(dòng)性管理等信令消息類型 ;序列號(hào)用于信令消息的事務(wù)處理標(biāo)識(shí)和隧道傳送 T -PDU 的遞增序號(hào);TID(隧道標(biāo)識(shí)符)用于指出MM(移動(dòng)性管理)和 PDP 上下文 。其結(jié)構(gòu)如圖 3 所示。

圖 3 中 MCC 是移動(dòng)網(wǎng)國(guó)家代碼 , MNC 是移動(dòng)網(wǎng)代碼 , MSIN 是移動(dòng)臺(tái)識(shí)別號(hào) , 屬于國(guó)際移動(dòng)用戶識(shí)別 IMSI 中的一部分。NSAPI 是網(wǎng)絡(luò)業(yè)務(wù)訪問點(diǎn)標(biāo)識(shí)符 , 用于識(shí)別PDP 上下文。

GPRS隧道協(xié)議信令平臺(tái)

與 GPRS移動(dòng)性管理功能有關(guān)的信令平臺(tái)包括 GPRS連接,GPRS路由區(qū)更新和 PDP上下文激活等。GSN 節(jié)點(diǎn)之間的信令是由 GPRS 隧道協(xié)議 GTP 來執(zhí)行的。信令平臺(tái)(協(xié)議棧)如圖 4 所示。

GTP 信令流與GTP 隧道僅是邏輯上的結(jié)合 , 實(shí)際上是分開的。一對(duì) GSN -GSN 之間可存在一條或多條路徑。每條路徑又可能包含一條和多條隧道。GTP 是一種手段 ,通過 GTP 來建立、 使用、 管理和釋放隧道。利用保持激活的回送消息來保持路徑 , 保證 GSN之間連接中斷時(shí)能及時(shí)檢測(cè)到。GTP 定義了 2 個(gè)相關(guān)的 GSN 之間的一組信令消息。GSN 之間(SGSN 和GGSN 之間 ;SGSN 和 SGSN 之間)以及生成 CDR 的網(wǎng)絡(luò)單元和 CGF 之間的信令消息類型值分配如表 1 所示:

對(duì)于信令消息, GTP 字頭的用法如下 :

(1)SNN 置 0 ;

(2)消息類型按上表取定為唯一值 ;

(3)長(zhǎng)度是指不包括 GTP 字頭在內(nèi)信令消息長(zhǎng)度(字節(jié)數(shù));

(4)序列號(hào)是指一條路徑或一條隧道的有效消息號(hào)碼, 在路徑或隧道中發(fā)送的每條 GTP 信令消息的序列號(hào)是唯一的, 連續(xù)序列號(hào)范圍為 0 至 65535 ;

(5)在全部路徑管理消息 、 位置管理消息和移動(dòng)性管理消息中 TID 置 0。在隧道管理消息中 , TID 用于指出目的地 GSN 中的 MM 和 PDP 上下文 ;

(6)在全部路徑管理消息 、 位置管理消息中 , 流標(biāo)志沒有使用置 0。 在隧道管理消息和移動(dòng)性管理消息中 , 流標(biāo)志置成所請(qǐng)求的值, 用于指示 GTP 流。信令消息是由用于信令的 GTP 字頭加后面跟隨著的一系列信息單元組成各種信令消息 , 主要取決于信令消息的類型 , 不同的信令消息類型 GTP 字頭后面跟隨不同的信令消息。信令消息格式如圖 5 所示。

GPRS隧道協(xié)議傳輸平臺(tái)

隧道用于在一個(gè)給定的GSN 對(duì)之間為單獨(dú)的一個(gè)MS 承載封裝的 T -PDU。出現(xiàn)在 GTP 字頭中的關(guān)鍵隧道標(biāo)志應(yīng)說明一個(gè)特定的 T -PDU 屬于哪個(gè)隧道。以這樣一種格式 , 分組通過 GTP 在一個(gè)給定的 GSN -GSN 對(duì)之間進(jìn)行復(fù)用和解復(fù)用 。在關(guān)鍵字段使用的TID 值是由發(fā)生在信令平臺(tái)上的創(chuàng)建 PDP 上下文建立規(guī)程來建立的。

GTP 協(xié)議承載 T -PDU 通過 GPRS 骨干網(wǎng) 。 T -PDU 封裝在 G -PDU中 , 在一對(duì) GSN 之間的一個(gè)隧道中承載。一個(gè) G -PDU 是由一個(gè) GTP 字頭和一個(gè) T -PDU 組成的分組。路徑協(xié)議規(guī)定路徑 , GTP 字頭規(guī)定隧道。幾個(gè)隧道可以復(fù)用到一條路徑上。幀結(jié)構(gòu)如圖6 所示。

對(duì)于傳輸平臺(tái)消息 , GTP 字頭應(yīng)如下進(jìn)行使用:

(1)SNN 標(biāo)志 :如果 SNN 標(biāo)志置 1 , 則 GTP 字頭包括可選的 SNDCP N-PDU 序號(hào)。

(2)消息類型置十進(jìn)制 255 , 表明是一個(gè) T -PDU。

(3)序列號(hào) :用于決定是否丟棄一個(gè)收到的 T -PDU。

(4)SNDCP N -PDU序列號(hào):如果 SNN 置 1 , 此序列號(hào)應(yīng)該被包括。在 SGSN 間路由區(qū)更新時(shí) , 此序列號(hào)被原 SGSN 用來告訴新 SGSN 指派給 T -PDU 包的N -PDU 序列號(hào) 。如果一個(gè) T -PDU 包沒有被 SNDCP指定序號(hào), 或 T -PDU 包在 LLC層上使用非確認(rèn)的方式傳送 , 那么 SNN 標(biāo)志應(yīng)置 0, SNDCP N -PDU 序號(hào)應(yīng)置 255 。

(5)流標(biāo)志用于識(shí)別 T -PDU 屬于哪個(gè)數(shù)據(jù)流。流標(biāo)志是接收方在上下文建立、 更新或 SGSN改變時(shí)選擇的。

(6)TID:隧道標(biāo)識(shí)符指示該T-PDU所屬的隧道。由接收 GSN利用 TID來查找 MM和 PDP的上下文。

GPRS隧道協(xié)議路徑協(xié)議

UDP/IP 是在GTP 的第一版本中唯一規(guī)定用來傳送 GTP信令消息的路徑協(xié)議。UDP/IP也作為在無連接路徑上的隧道傳送無連接 T-PDU的推薦選擇。

TCP/IP 作為在一個(gè)可靠的面向連接路徑上的隧道傳送面向連接 T-PDU的推薦選擇。