網絡基礎知識講座二十：初步了解隧道技術

現在的計算機領域越來越依賴於各種類型的隧道技術。所有的遠程接入VPN(虛擬專用網)都要用隧道，你還經常聽到計算機狂人們在談論SSH(安全Shell)隧道。利用隧道技術你可以完成許多令人驚訝的工作，所以請舒舒服服地坐好吧，愉快地享受這一期關於隧道技術及其用途的知識講座。如果你想了解IP安全協議(IPSec)的具體情況，我們會在以後的基礎知識講座中闡述。

隧道技術的主要作用是讓一種網絡不支持的外來協議通過該網絡。隧道協議可以讓你利用諸如IP等協議通過IP數據包的“數據”部分發送另一種協議。大多數隧道協議作用在第4層，這就意味著這些協議可以用來代替TCP(傳輸控制協議)或UDP(用戶數據報協議)等協議的功能。

VPN隧道技術允許遠程客戶通過隧道進入我們的網絡，這一點證明了早前關於隧道被用於那些“不受支持協議”的觀點，盡管該作用並不顯而易見。如果我們要通過VPN才能實現打印機和文件共享，那可能是因為端口139和445(Windows的配對端口)已被關閉，實際上對於我們的邊界路由器來說，這兩個端口是不受支持的TCP端口。然而，如果在已知的VPN服務器上采用IPSec或PPTP(點對點隧道協議)，那麼一切就“都沒問題”了。

被發往活動目錄(Active Directory)服務器端口445的數據包將被隱藏為VPN數據包。當這些數據包到達VPN服務器時，服務器會對數據包進行解包(demux，即de-multiplex，也被稱為disassemble)，然後將其發送到內部網絡上。當數據包到達內部網絡時，其源地址現在就是VPN服務器的內部IP，這樣內部網絡做出的響應就能返回VPN服務器。除了這一點，數據包都會完全按照你的意圖行事。VPN服務器一收到響應，就會給該數據包添加VPN頭並封裝起來，然後通過其外部接口把它發回給你。

關於VPN隧道要注意幾個有意思的地方:一旦你的數據到達內部網絡，它就已經被解密;而當這些數據通過Internet時，會有一些特別的“東西”被加入到數據包中。