网络安全应用技术 VPN技术详细说明（四）

　　IPSEC隧道模式具有以下功能和局限：

　　只能支持IP数据流

　　工作在IP栈（IPstack）的底层，因此，应用程序和高层协议可以继承IPSEC的行为。

　　由一个安全策略（一整套过滤机制）进行控制。安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制以及验证方式。当需要建立通讯时，双方机器执行相互验证，然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密机制进行加密，然后封装在隧道包头内。

　　关于IPSEC的详细介绍参看本文稍后的“高级安全”部分。

　　十一、隧道类型

　　1.自愿隧道（Voluntarytunnel)

　　用户或客户端计算机可以通过发送VPN请求配置和创建一条自愿隧道。此时，用户端计算机作为隧道客户方成为隧道的一个端点。

　　2.强制隧道（Compulsorytunnel）

　　由支持VPN的拨号接入服务器配置和创建一条强制隧道。此时，用户端的计算机不作为隧道端点，而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端，成为隧道的一个端点。

　　目前，自愿隧道是最普遍使用的隧道类型。以下，将对上述两种隧道类型进行详细介绍。

　　自愿隧道

　　当一台工作站或路由器使用隧道客户软件创建到目标隧道服务器的虚拟连接时建立自愿隧道。为实现这一目的，客户端计算机必须安装适当的隧道协议。自愿隧道需要有一条IP连接（通过局域网或拨号线路）。使用拨号方式时，客户端必须在建立隧道之前创建与公共互联网络的拨号连接。一个最典型的例子是Internet拨号用户必须在创建Internet隧道之前拨通本地ISP取得与Internet的连接。

　　对企业内部网络来说，客户机已经具有同企业网络的连接，由企业网络为封装负载数据提供到目标隧道服务器路由。