點到點隧道協(xié)議簡介

本詞條由“科普中國”科學(xué)百科詞條編寫與應(yīng)用工作項目 審核 。

點對點隧道協(xié)議，PPTP（Point to Point Tunneling Protocol） ，該協(xié)議是在PPP協(xié)議的基礎(chǔ)上開發(fā)的一種新的增強型安全協(xié)議，支持多協(xié)議虛擬專用網(wǎng)（VPN），可以通過密碼驗證協(xié)議（PAP）、可擴展認證協(xié)議（EAP）等方法增強安全性?？梢允惯h程用戶通過撥入ISP、通過直接連接Internet或其他網(wǎng)絡(luò)安全地訪問企業(yè)網(wǎng)。

中文名稱

點到點隧道協(xié)議

英文名稱

point-to-point tunneling protocol;PPTP

定　　義

在因特網(wǎng)上建立多協(xié)議安全虛擬專用網(wǎng)隧道的協(xié)議。

應(yīng)用學(xué)科

通信科技（一級學(xué)科），通信協(xié)議（二級學(xué)科）

隧道技術(shù)的實質(zhì)是如何利用一種網(wǎng)絡(luò)層的協(xié)議來傳輸另一種網(wǎng)絡(luò)層的協(xié)議，其基本功能是封裝和加密，主要利用隧道協(xié)議來實現(xiàn)。封裝是構(gòu)建隧道的基本手段。從隧道的兩端來看，封裝就是用來創(chuàng)建、維持和撤銷一個隧道，來實現(xiàn)信息的隱蔽和抽象。而如果流經(jīng)隧道的數(shù)據(jù)不加密，那么整個隧道就暴露在公共網(wǎng)絡(luò)中，VPN的安全性和私有性就得不到體現(xiàn)。

網(wǎng)路隧道技術(shù)涉及了3種網(wǎng)絡(luò)協(xié)議：網(wǎng)絡(luò)隧道協(xié)議、隧道協(xié)議下面的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。如圖所示

隧道協(xié)議作為VPN IP層的底層，將VPN IP分組進行安裝封裝；隧道協(xié)議同時作為公用IP網(wǎng)的一種特殊形式，將封裝的VPN分組利用公網(wǎng)內(nèi)的IP協(xié)議棧進行傳輸，以實現(xiàn)隧道內(nèi)的功能。隧道協(xié)議在這個協(xié)議體系中起著承上啟下的作用。

隧道協(xié)議存在多種可能的實現(xiàn)方式，按照工作的層次，可分為兩類：一類是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建撥號VPN（Access VPN）；另一類是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建內(nèi)部網(wǎng)VPN（Intranet VPN）和外聯(lián)網(wǎng)（VPN Extranet VPN）。

隧道協(xié)議二層隧道協(xié)議

二層隧道協(xié)議指用公用網(wǎng)絡(luò)來封裝和傳輸二層（數(shù)據(jù)鏈路層）協(xié)議，此時在隧道內(nèi)傳輸?shù)氖菙?shù)據(jù)鏈路層的幀。工作原理如圖所示

在點到點的二層鏈路上，最常用的二層協(xié)議是PPP協(xié)議，隧道協(xié)議實現(xiàn)中，首先將IP分組封裝在二層的PPP協(xié)議幀中，也就是會所，先把各種網(wǎng)絡(luò)協(xié)議封裝在PPP中，再把整個數(shù)據(jù)包裝入二層隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包在公用網(wǎng)絡(luò)中傳輸。

第二層隧道協(xié)議具有簡單易行的優(yōu)點，但是他沒的可擴展性不太好，而且提供內(nèi)在的安全機制安全強度低，因此它們不支持企業(yè)和企業(yè)的外部客戶以及供應(yīng)商之間通信的保密性需求，不適合用來構(gòu)建連接企業(yè)內(nèi)部網(wǎng)和企業(yè)的外部客戶和供應(yīng)商的企業(yè)外部網(wǎng)VPN。

隧道協(xié)議三層隧道協(xié)議

三層隧道協(xié)議是用公用網(wǎng)來封裝和傳輸三層（網(wǎng)路層）協(xié)議（如IP、IPX、AppleTalk等），此時在隧道內(nèi)傳輸?shù)氖蔷W(wǎng)路層的分組。三層隧道協(xié)議并非是一種很新的技術(shù)，早已出現(xiàn)的RFC 1701 通路路由封裝協(xié)議就是一個三層隧道協(xié)議。IETF制定的IP層加密標準協(xié)議IPSec 也是一個三層速到協(xié)議，利用IPSec（ESP/AN）的隧道模式構(gòu)成的VPN隧道。三層隧道協(xié)議的協(xié)議棧如圖所示，

隧道技術(shù)是一種通過使用網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)(或負載)可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息 ,從而使封裝的負載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。為創(chuàng)建隧道,隧道的客戶機和服務(wù)器雙方必須使用相同的隧道協(xié)議。隧道技術(shù)可以分別以第 2層或第 3層隧道協(xié)議為基礎(chǔ)(分層按照開放系統(tǒng)互聯(lián)(OSI)的參考模型劃分)。第 2層隧道協(xié)議對應(yīng) OSI 模型中的數(shù)據(jù)鏈路層,使用幀作為數(shù)據(jù)交換單位。PPTP,L2TP和 L2F(第 2層轉(zhuǎn)發(fā))都屬于第 2層隧道協(xié)議 ,都是將數(shù)據(jù)封裝在點對點協(xié)議(PPP)幀中通過互聯(lián)網(wǎng)絡(luò)發(fā)送。第 3層隧道協(xié)議對應(yīng) OSI模型中的網(wǎng)絡(luò)層 ,使用包作為數(shù)據(jù)交換單位。IP over IP以及 IPSec 隧道模式都屬于第3 層隧道協(xié)議,都是將IP 包封裝在附加的 IP包頭中通過 IP網(wǎng)絡(luò)傳送。

目前 ,隧道協(xié)議已經(jīng)被應(yīng)用到許多網(wǎng)絡(luò)中 ,并逐步制定了相應(yīng)的技術(shù)規(guī)范。GPRS隧道協(xié)議 GTP(GPRSTunnelling Protocol)是隧道協(xié)議在GPRS 網(wǎng)絡(luò)中的應(yīng)用實例。

GTP 協(xié)議是由GTP 信令和數(shù)據(jù)傳輸程序組成的。在信令平臺,GTP信令規(guī)定了移動臺 MS接入 GPRS網(wǎng)絡(luò)的隧道控制和管理功能要求 ,信令主要執(zhí)行建立、修改和刪除GSN之間隧道功能以及執(zhí)行移動性管理、位置管理、 路徑管理功能。在傳輸平臺 ,GTP利用 GSN 之間建立的隧道傳送用戶分組數(shù)據(jù),并給出了以GTP 為基礎(chǔ)的IP組網(wǎng)技術(shù),SGSN、GGSN執(zhí)行GTP 、UDP或 TCP和 IP 字頭封裝功能和包括骨干路由器在內(nèi)對用戶分組數(shù)據(jù)的分段處理功能。

GPRS隧道協(xié)議GTP 字頭

GTP 字頭是由 20 個字節(jié)組成的固定格式, 適合全部的 GTP 消息 , GTP 字頭組成和隧道標識符格式如圖 2 、 圖 3 所示。

其中 , 版本比特和 PT 比特合用表示協(xié)議類型及版本號 ;SNN 用于指示 SNDCP(子網(wǎng)相關(guān)的收斂協(xié)議)的N -PDU序號是否被包括 ;消息類型指示 GTP 消息的類型 :路徑管理、 隧道管理、 位置管理、 移動性管理等信令消息類型 ;序列號用于信令消息的事務(wù)處理標識和隧道傳送 T -PDU 的遞增序號;TID(隧道標識符)用于指出MM(移動性管理)和 PDP 上下文 。其結(jié)構(gòu)如圖 3 所示。

圖 3 中 MCC 是移動網(wǎng)國家代碼 , MNC 是移動網(wǎng)代碼 , MSIN 是移動臺識別號 , 屬于國際移動用戶識別 IMSI 中的一部分。NSAPI 是網(wǎng)絡(luò)業(yè)務(wù)訪問點標識符 , 用于識別PDP 上下文。

GPRS隧道協(xié)議信令平臺

與 GPRS移動性管理功能有關(guān)的信令平臺包括 GPRS連接,GPRS路由區(qū)更新和 PDP上下文激活等。GSN 節(jié)點之間的信令是由 GPRS 隧道協(xié)議 GTP 來執(zhí)行的。信令平臺(協(xié)議棧)如圖 4 所示。

GTP 信令流與GTP 隧道僅是邏輯上的結(jié)合 , 實際上是分開的。一對 GSN -GSN 之間可存在一條或多條路徑。每條路徑又可能包含一條和多條隧道。GTP 是一種手段 ,通過 GTP 來建立、 使用、 管理和釋放隧道。利用保持激活的回送消息來保持路徑 , 保證 GSN之間連接中斷時能及時檢測到。GTP 定義了 2 個相關(guān)的 GSN 之間的一組信令消息。GSN 之間(SGSN 和GGSN 之間 ;SGSN 和 SGSN 之間)以及生成 CDR 的網(wǎng)絡(luò)單元和 CGF 之間的信令消息類型值分配如表 1 所示:

對于信令消息, GTP 字頭的用法如下 :

(1)SNN 置 0 ;

(2)消息類型按上表取定為唯一值 ;

(3)長度是指不包括 GTP 字頭在內(nèi)信令消息長度(字節(jié)數(shù));

(4)序列號是指一條路徑或一條隧道的有效消息號碼, 在路徑或隧道中發(fā)送的每條 GTP 信令消息的序列號是唯一的, 連續(xù)序列號范圍為 0 至 65535 ;

(5)在全部路徑管理消息 、 位置管理消息和移動性管理消息中 TID 置 0。在隧道管理消息中 , TID 用于指出目的地 GSN 中的 MM 和 PDP 上下文 ;

(6)在全部路徑管理消息 、 位置管理消息中 , 流標志沒有使用置 0。 在隧道管理消息和移動性管理消息中 , 流標志置成所請求的值, 用于指示 GTP 流。信令消息是由用于信令的 GTP 字頭加后面跟隨著的一系列信息單元組成各種信令消息 , 主要取決于信令消息的類型 , 不同的信令消息類型 GTP 字頭后面跟隨不同的信令消息。信令消息格式如圖 5 所示。

GPRS隧道協(xié)議傳輸平臺

隧道用于在一個給定的GSN 對之間為單獨的一個MS 承載封裝的 T -PDU。出現(xiàn)在 GTP 字頭中的關(guān)鍵隧道標志應(yīng)說明一個特定的 T -PDU 屬于哪個隧道。以這樣一種格式 , 分組通過 GTP 在一個給定的 GSN -GSN 對之間進行復(fù)用和解復(fù)用 。在關(guān)鍵字段使用的TID 值是由發(fā)生在信令平臺上的創(chuàng)建 PDP 上下文建立規(guī)程來建立的。

GTP 協(xié)議承載 T -PDU 通過 GPRS 骨干網(wǎng) 。 T -PDU 封裝在 G -PDU中 , 在一對 GSN 之間的一個隧道中承載。一個 G -PDU 是由一個 GTP 字頭和一個 T -PDU 組成的分組。路徑協(xié)議規(guī)定路徑 , GTP 字頭規(guī)定隧道。幾個隧道可以復(fù)用到一條路徑上。幀結(jié)構(gòu)如圖6 所示。

對于傳輸平臺消息 , GTP 字頭應(yīng)如下進行使用:

(1)SNN 標志 :如果 SNN 標志置 1 , 則 GTP 字頭包括可選的 SNDCP N-PDU 序號。

(2)消息類型置十進制 255 , 表明是一個 T -PDU。

(3)序列號 :用于決定是否丟棄一個收到的 T -PDU。

(4)SNDCP N -PDU序列號:如果 SNN 置 1 , 此序列號應(yīng)該被包括。在 SGSN 間路由區(qū)更新時 , 此序列號被原 SGSN 用來告訴新 SGSN 指派給 T -PDU 包的N -PDU 序列號 。如果一個 T -PDU 包沒有被 SNDCP指定序號, 或 T -PDU 包在 LLC層上使用非確認的方式傳送 , 那么 SNN 標志應(yīng)置 0, SNDCP N -PDU 序號應(yīng)置 255 。

(5)流標志用于識別 T -PDU 屬于哪個數(shù)據(jù)流。流標志是接收方在上下文建立、 更新或 SGSN改變時選擇的。

(6)TID:隧道標識符指示該T-PDU所屬的隧道。由接收 GSN利用 TID來查找 MM和 PDP的上下文。

GPRS隧道協(xié)議路徑協(xié)議

UDP/IP 是在GTP 的第一版本中唯一規(guī)定用來傳送 GTP信令消息的路徑協(xié)議。UDP/IP也作為在無連接路徑上的隧道傳送無連接 T-PDU的推薦選擇。

TCP/IP 作為在一個可靠的面向連接路徑上的隧道傳送面向連接 T-PDU的推薦選擇。