隧道分離

1) excludespecified主要用于僅允許訪問(wèn)客戶端本地網(wǎng)絡(luò)（Allow Local Network Access），去公司內(nèi)網(wǎng)以及Internet都要走分離的隧道。配置實(shí)例：Allow Local LAN Access for VPN Clients Configuration Example

2) tunnelall所有的流量（包括去公司內(nèi)網(wǎng)，Internet）都在分離隧道上，不可以訪問(wèn)客戶端本地網(wǎng)絡(luò)。默認(rèn)設(shè)置為此。

3) tunnelspeficied允許訪問(wèn)客戶端本地網(wǎng)絡(luò)以及Internet，只有去公司內(nèi)網(wǎng)的流量走分離隧道。配置實(shí)例：Allow Split Tunneling for VPN Clients on the ASA Configuration Example2100433B

在配置遠(yuǎn)程VPN組策略屬性時(shí)可以設(shè)定分離隧道的模式。Cisco支持三種模式：excludesspecified (選擇性不在分離隧道)， tunnelall (全部在分離隧道)，tunnelspecified (選擇性在分離隧道)，并且這三種模式不可以同時(shí)使用在一個(gè)組策略上：

上浮法凈水，即為一般所說(shuō)的氣浮凈水法。氣浮式澄清器就是在水中通入或設(shè)法使水體產(chǎn)生大量的微細(xì)氣泡，附著于雜質(zhì)顆粒上，密度小于水而浮至水面，從而獲得固液分離的一種澄清設(shè)備。

普通澄清器依靠凝聚捕集，使水體中懸浮物質(zhì)成為密度大于水的絮凝體，在沉淀分離部中進(jìn)行固液分離，絮凝體沉降到污泥斗或澄清池底部，通過(guò)污泥斗排泥或底部排泥方法排出至設(shè)備外，澄清水從池子上部流出。上浮式澄清器是依靠氣泡附于雜質(zhì)上，造成其密度小于水而上浮，達(dá)到固液分離的目的。上浮至池面的雜質(zhì)通過(guò)刮渣裝置或表面排渣裝置排出，清水從池子底部引出。

水中存在著各種各樣的有機(jī)雜質(zhì)、無(wú)機(jī)雜質(zhì)、凈水藥劑及微小的氣泡，使氣泡附于雜質(zhì)顆粒表面而上浮，這是一個(gè)復(fù)雜的物理化學(xué)過(guò)程，這不僅與雜質(zhì)的特性有關(guān)，而且與氣相、液相介質(zhì)都有密切關(guān)系。

北碚隧道設(shè)計(jì)行車速度為60km/h，按上下行分離設(shè)置，隧道軸線直線段相距35m，左線隧道長(zhǎng)4025m，右線隧道長(zhǎng)4045m。隧道內(nèi)輪廓按建筑界限寬10.5m、高5.0m擬定，采用三心圓斷面，為曲墻半圓拱，曲墻半徑8.5m，拱半徑5.5m，凈空面積62.964m2。獨(dú)立雙洞軸線間距采用35m，打破了尖山子隧道設(shè)計(jì)以前，國(guó)內(nèi)類似地質(zhì)條件下，雙洞分修結(jié)構(gòu)形式軸線間距為45(50m的通常作法和工程經(jīng)驗(yàn)。

隧道經(jīng)遇巖溶及巖溶突水、斷層及軟弱圍巖、含瓦斯煤系地層、煤巷采空區(qū)等大的不良地質(zhì)現(xiàn)象，地質(zhì)條件復(fù)雜，設(shè)計(jì)施工難度大。在區(qū)域地質(zhì)、地形調(diào)查的基礎(chǔ)上，采用先進(jìn)的勘察手段，強(qiáng)調(diào)"不良地質(zhì)選線"的指導(dǎo)思想，經(jīng)過(guò)方案的分析比選論證，確定了采用的隧址方案。進(jìn)行了涌水、溶洞、斷層、煤層及采空區(qū)等不良地質(zhì)現(xiàn)象特征的預(yù)測(cè)和分析，形成了處治上述不良地質(zhì)現(xiàn)象的成套技術(shù)。按照"防、排、堵相結(jié)合，因地制宜，綜合治理"的原則，形成了隧道治水的成套技術(shù)，極好地解決了隧道的滲漏水問(wèn)題。通過(guò)尖山子隧道成功修建，證明了隧址區(qū)是各類不良地質(zhì)現(xiàn)象影響最小的區(qū)域。同時(shí)，創(chuàng)造了幾個(gè)國(guó)內(nèi)第一：

隧道技術(shù)的實(shí)質(zhì)是如何利用一種網(wǎng)絡(luò)層的協(xié)議來(lái)傳輸另一種網(wǎng)絡(luò)層的協(xié)議，其基本功能是封裝和加密，主要利用隧道協(xié)議來(lái)實(shí)現(xiàn)。封裝是構(gòu)建隧道的基本手段。從隧道的兩端來(lái)看，封裝就是用來(lái)創(chuàng)建、維持和撤銷一個(gè)隧道，來(lái)實(shí)現(xiàn)信息的隱蔽和抽象。而如果流經(jīng)隧道的數(shù)據(jù)不加密，那么整個(gè)隧道就暴露在公共網(wǎng)絡(luò)中，VPN的安全性和私有性就得不到體現(xiàn)。

網(wǎng)路隧道技術(shù)涉及了3種網(wǎng)絡(luò)協(xié)議：網(wǎng)絡(luò)隧道協(xié)議、隧道協(xié)議下面的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。如圖所示

隧道協(xié)議作為VPN IP層的底層，將VPN IP分組進(jìn)行安裝封裝；隧道協(xié)議同時(shí)作為公用IP網(wǎng)的一種特殊形式，將封裝的VPN分組利用公網(wǎng)內(nèi)的IP協(xié)議棧進(jìn)行傳輸，以實(shí)現(xiàn)隧道內(nèi)的功能。隧道協(xié)議在這個(gè)協(xié)議體系中起著承上啟下的作用。

隧道協(xié)議存在多種可能的實(shí)現(xiàn)方式，按照工作的層次，可分為兩類：一類是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建撥號(hào)VPN（Access VPN）；另一類是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建內(nèi)部網(wǎng)VPN（Intranet VPN）和外聯(lián)網(wǎng)（VPN Extranet VPN）。

隧道協(xié)議二層隧道協(xié)議

二層隧道協(xié)議指用公用網(wǎng)絡(luò)來(lái)封裝和傳輸二層（數(shù)據(jù)鏈路層）協(xié)議，此時(shí)在隧道內(nèi)傳輸?shù)氖菙?shù)據(jù)鏈路層的幀。工作原理如圖所示

在點(diǎn)到點(diǎn)的二層鏈路上，最常用的二層協(xié)議是PPP協(xié)議，隧道協(xié)議實(shí)現(xiàn)中，首先將IP分組封裝在二層的PPP協(xié)議幀中，也就是會(huì)所，先把各種網(wǎng)絡(luò)協(xié)議封裝在PPP中，再把整個(gè)數(shù)據(jù)包裝入二層隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包在公用網(wǎng)絡(luò)中傳輸。

第二層隧道協(xié)議具有簡(jiǎn)單易行的優(yōu)點(diǎn)，但是他沒(méi)的可擴(kuò)展性不太好，而且提供內(nèi)在的安全機(jī)制安全強(qiáng)度低，因此它們不支持企業(yè)和企業(yè)的外部客戶以及供應(yīng)商之間通信的保密性需求，不適合用來(lái)構(gòu)建連接企業(yè)內(nèi)部網(wǎng)和企業(yè)的外部客戶和供應(yīng)商的企業(yè)外部網(wǎng)VPN。

隧道協(xié)議三層隧道協(xié)議

三層隧道協(xié)議是用公用網(wǎng)來(lái)封裝和傳輸三層（網(wǎng)路層）協(xié)議（如IP、IPX、AppleTalk等），此時(shí)在隧道內(nèi)傳輸?shù)氖蔷W(wǎng)路層的分組。三層隧道協(xié)議并非是一種很新的技術(shù)，早已出現(xiàn)的RFC 1701 通路路由封裝協(xié)議就是一個(gè)三層隧道協(xié)議。IETF制定的IP層加密標(biāo)準(zhǔn)協(xié)議IPSec 也是一個(gè)三層速到協(xié)議，利用IPSec（ESP/AN）的隧道模式構(gòu)成的VPN隧道。三層隧道協(xié)議的協(xié)議棧如圖所示，