什麼是隧道?| 網路隧道

通道是將封包從一個網路移到另一個網路的方法。通道透過封裝工作,即將封包裝在另一個封包內。

學習目標

閱讀本文後,您將能夠:

  • 定義通道
  • 瞭解封包封裝的運作方式
  • 探索網路通道的用途

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是隧道?

在實際世界中,通道是一種跨越通常無法跨越的地形或邊界的方法。同樣,在網路中,通道是一種使用網路不支援的通訊協定在該網路中傳輸資料的方法。通道的運作方式是對封包進行封裝:將封包包裝在其他封包內。(封包是小塊的資料,可以在目的地重新組合成一個大檔案)。

通道技術經常用於虛擬私人網路 (VPN)。它還可以在網路之間建立高效和安全的連線,從而使用本不受支援的網路通訊協定,並在某些情況下允許使用者繞過防火牆

封包封裝如何運作?

透過網路傳輸的資料被分成封包。一個典型的封包有兩部分:標頭,它表明封包的目的地和它使用的通訊協定,以及裝載,它是封包的實際內容。

封裝的封包本質上是另一個封包內的封包。在封裝的封包中,第一個封包的標頭和裝載進入周圍封包的裝載部分。原始封包本身成為裝載。

為什麼封裝有用?

所有封包都使用網路通訊協定(格式化資料的標準化方式)來到達目的地。但是,並非所有網路都支援所有通訊協定。想像一家公司想建立一個廣域網域 (WAN) 連接辦公室 A 和辦公室 B。該公司使用 IPv6 通訊協定,這是最新版本的網際網路通訊協定 (IP),但是辦公室 A 和辦公室 B 之間有一段網路僅支援 IPv4。透過將 IPv6 封包封裝在 IPv4 封包中,公司可以繼續使用 IPv6,同時仍可在辦公室之間直接傳送資料。

封裝對於加密的網路連線也很有用。加密是對資料進行加擾的過程,只有使用保密的加密金鑰才能解開;解開加密的過程被稱為解密。如果一個封包包括標頭在內被完全加密,那麼網路路由器就無法將封包轉寄到它的目的地,因為它們沒有金鑰,看不到其標頭。透過將加密的封包包裝在另一個未加密的封包中,封包可以像往常一樣跨網路傳輸。

什麼是 VPN 通道?

VPN 是公開共用網路上的安全加密連線。通道是 VPN 封包到達其預期目的地(通常是私人網路)的過程。

許多 VPN 使用 IPsec 通訊協定套件。IPsec 是一組直接在網路層的 IP 之上執行的通訊協定。IPsec 通道中的網路流量是完全加密的,但一旦到達網路或使用者裝置就會被解密。(IPsec 還有一種稱為「傳輸模式」的模式,它不會建立通道。)

另一個常用於 VPN 的通訊協定是 Transport Layer Security (TLS)。該通訊協定在 OSI 模型的第 6 層或第 7 層運作,具體取決於模型的解譯方式。TLS 有時稱為 SSL(安全通訊端層),儘管 SSL 指的是不再使用的舊通訊協定。

什麼是分割通道?

通常,當使用者將他們的裝置連接到 VPN 時,他們的所有網路流量都會通過 VPN 通道。分割通道允許一些流量離開 VPN 通道。從本質上講,分割通道允許使用者裝置同時連接到兩個網路:一個公用網路和一個私人網路。

什麼是 GRE 隧道?

一般路由封裝 (GRE) 是幾種通道通訊協定之一。GRE 將使用一種路由通訊協定的封包封裝在使用另一種通訊協定的封包中。GRE 是在網路上建立直接點對點連線的一種方法,目的是簡化單獨網路之間的連線。

GRE 為每個封包新增兩個標頭:一個 GRE 標頭和一個 IP 標頭。GRE 標頭會表明封裝的封包使用的通訊協定類型。IP 標頭封裝原始封包的 IP 標頭和裝載。只有 GRE 通道兩端的路由器將參照原始的非 GRE IP 標頭。

IP-in-IP 是什麼?

IP-in-IP 是一種通道通訊協定,用於將 IP 封包封裝在其他 IP 封包中。IP-in-IP 不加密封包,也不用於 VPN。它的主要用途是設定通常不可用的網路路由。

什麼是 GRE 通道?

安全殼層 (SSH) 通訊協定可設定用戶端與伺服器之間的加密連線,也可用來設定安全通道。SSH 在 OSI 模型的第 7 層(應用程式層)運作。相比之下,IPsec、IP-in-IP 和 GRE 在網路層運作。

有哪些其他通道通訊協定?

除了 GRE、IPsec、IP-in-IP 和 SSH 之外,其他通道通訊協定還包括:

  • 點對點通道通訊協定 (PPTP)
  • 安全通訊端通道通訊協定 (SSTP)
  • 第二層通道通訊協定 (L2TP)
  • 虛擬可延伸區域網路 (VXLAN)

Cloudflare 如何使用通道?

Cloudflare Magic Transit 保護內部部署、雲端混合網路基礎結構免受 DDoS 攻擊和其他威脅。為了讓 Magic Transit 正常運作,Cloudflare 網路必須安全地連接到客戶的內部網路。Cloudflare 使用 GRE 通道來形成這些連線。藉助 GRE 通道,Magic Transit 可以透過公用網際網路安全地直接連接到 Cloudflare 客戶的網路。