隧道的作用是在两个网络节点间给出一条通路,使数据报能在其上透明传输。VPN隧道通常指在PSN骨干网的VPN节点间或VPN节点与用户节点间构建的传VPN数据的虚拟连接。隧道是构建VPN不能缺少的部分,来把VPN数据从一个VPN节点公开传到另一节点。根据所用的隧道协议类型,隧道可分为以下两种类型:
1.LSP
在MPLS网络中,边缘设备对报文打上MPLS标签,网络内部设备根据标签转发报文。标签报文走过的路径叫做标签交换路径(LSP)。若核心网只给出纯IP功能,而网络边缘的PE设备有MPLS功能,可由GRE替代LSP,在核心网给出三层或二层VPN解决方案。
2.GRE隧道
GRE隧道用GRE协议封装原始数据报文,通过公共IP网络透明传输数据。GRE隧道设置二层信息不行,但IP地址可以,用为隧道规定的实际物理接口实现转发。
现在的GRE隧道方案有以下缺点:
(1)组网及配置复杂。GRE隧道技术用的是点到点的方案,当接入点的数量为N,建立全连接的VPN时,网络得手工配置N×(N-1)/2个点到点的连接。
(2)可维护性及可扩展性差。对已组建好的VPN网络,若要增加节点或修改某节点的配置,那么剩余全部节点都得针对此节点修改本地配置,维护成本较高。
(3)无法穿透NAT网关。用GRE建立隧道,若出口有NAT网关,那么要公网地址对应私网地址解决要大量的公网IP地址,这使得GRE不能用在NAT网关内部。
根据所用协议的不同,隧道分为多种类型,类型不一样的隧道的建立与管理也不尽相同。例如,GRE、MPLS TE等是借助隧道接口进行的,而LSP则不用借助隧道接口。
