test

系统管理指南:IP 服务

词汇表

本词汇表包含出现在本书中但未包括在 Sun 全局词汇表(可以从 docs.sun.com Web 站点获取)中的新术语的定义。

3DES

请参见 Triple-DES(三重 DES)

address migration(地址迁移)

是指将地址从一个网络接口移动到另一个网络接口的过程。在因接口出现故障而进行故障转移的过程中,或者在因修复接口而进行故障恢复的过程中,均会发生地址迁移。

address pool(地址池)

在移动 IP 中,由家乡网络管理员指定的一组地址,供需要家乡地址的移动节点使用。

AES

高级加密标准。一种对称的 128 位块数据加密技术。美国政府在 2000 年 10 月采用算法的 Rijndael 变体作为加密标准。AES 从而取代了 DES 成为政府的加密标准。

agent advertisement(代理通告)

在移动 IP 中,由家乡代理和外地代理定期发送的消息,以通告它们存在于任一已连接链路上。

agent discovery(代理搜索)

在移动 IP 中,移动节点用来确定它是否移动、其当前位置及其在外地网络中的转交地址的过程。

anycast address(任意点传送地址)

为一组接口(通常属于不同的节点)指定的 IPv6 地址。发送到任意点传送地址的包将被路由到最近的具有该地址的接口。包的路由符合路由协议的距离度量原则。

anycast group(任意点传送组)

一组具有相同任意点传送 IPv6 地址的接口。Oracle Solaris : 实现的 IPv6 不支持创建任意点传送地址和任意点传送组。不过,Oracle Solaris : IPv6 节点可以将通信流量发送到任意点传送组。

asymmetric key cryptography(非对称密钥密码学)

一种加密系统,消息的发送者和接收者使用不同的密钥对消息进行加密和解密。非对称密钥用于为对称密钥加密建立一个安全的隧道。Diffie-Hellman protocol(Diffie-Hellman 协议)就是一种非对称密钥协议。该加密系统与 symmetric key cryptography(对称密钥密码学)相对。

authentication header(验证头)

为 IP 数据报提供验证和完整性而不提供保密性的扩展头。

autoconfiguration(自动配置)

主机根据站点前缀和本地 MAC 地址自动配置其 IPv6 地址的过程。

bidirectional tunnel(双向隧道)

可以双向传输数据报的隧道。

binding table(绑定表)

在移动 IP 中,将家乡地址与转交地址关联的家乡代理表,其中包括剩余生命周期和有效时间。

Blowfish

一种对称块加密算法,它采用 32 位到 448 位的可变长度密钥。其作者 Bruce Schneier 声称 Blowfish 已针对密钥不经常更改的应用程序进行优化。

broadcast address(广播地址)

IPv4 网络地址,其主机部分的所有位全为 0 (10.50.0.0) 或全为 1 (10.50.255.255)。从本地网络上的机器发送到广播地址的包将被传送到该网络中的所有机器。

CA

请参见 certificate authority, CA(证书颁发机构)

care-of address(转交地址)

移动节点的临时地址,它在移动节点连接到外地网络时用作隧道退出点。

certificate authority, CA(证书颁发机构)

可信任的第三方组织或公司,可以颁发用于创建数字签名和公钥/私钥对的数字证书。CA 保证被授予唯一证书的个人的身份。

certificate revocation list, CRL(证书撤销列表)

已由 CA 撤销的公钥证书的列表。CRL 存储在 CRL 数据库中,该数据库通过 IKE 进行维护。

classless inter-domain routing (CIDR) address(无类域间路由地址)

一种不基于网络类(A、B 和 C 类)的 IPv4 地址格式。CIDR 地址的长度为 32 位。它们使用标准的 IPv4 点分十进制表示法格式,并添加网络前缀。此前缀定义网络号和网络掩码。

class(类)

在 IPQoS 中,具有类似特征的一组网络流。可以在 IPQoS 配置文件中定义类。

data address(数据地址)

可以用作数据的源地址或目标地址的 IP 地址。数据地址是 IPMP 组的一部分,可以用来发送和接收组中任何接口上的通信。而且,只要 IPMP 组中有一个接口在工作,就可以连续使用 IPMP 组中的一组数据地址。

datagram(数据报)

请参见 IP datagram(IP 数据报)

DEPRECATED address(DEPRECATED 地址)

在 IPMP 组中不能用作数据的源地址的 IP 地址。通常,IPMP 测试地址为 DEPRECATED。不过,可以将任何地址标记为 DEPRECATED,以防止将该地址用作源地址。

DES

Data Encryption Standard(数据加密标准)。一种对称密钥加密方法,开发于 1975 年,1981 年由 ANSI 标准化为 ANSI X.3.92。DES 使用 56 位密钥。

Diffie-Hellman protocol(Diffie-Hellman 协议)

也称为公钥密码学。Diffie 和 Hellman 于 1976 年开发的非对称密钥一致性协议。使用该协议,两个用户可以在以前没有任何密钥的情况下通过不安全的介质交换密钥。IKE 协议需要使用 Diffie-Hellman。

diffserv model(diffserv 模型)

Internet 工程任务组体系结构标准,用于在 IP 网络上实现区分服务。主要模块是分类器、计量器、标记器、调度程序和丢包器。IPQoS 实现分类器、计量器和标记器模块。diffserv 模型在 RFC 2475 An Architecture for Differentiated Services 中进行了介绍。

digital signature(数字签名)

附加到以电子方式传输的消息的数字代码,可唯一地标识发送者。

domain of interpretation, DOI(解释域)

DOI 定义数据格式、网络通信流量交换类型和安全相关信息的命名约定。安全策略、加密算法和加密模式都属于安全相关信息。

DS codepoint, DSCP(DS 代码点)

一个 6 位值,包含在 IP 数据包头的 DS 字段中时指示必须转发包的方式。

DSA

Digital Signature Algorithm(数字签名算法)。一种公钥算法,采用大小可变(512 位到 4096 位)的密钥。美国政府标准 DSS 可达 1024 位。DSA 的输入依赖于 SHA-1

dual stack(双栈)

一种 TCP/IP 协议栈,IPv4 和 IPv6 均位于网络层,栈的其余部分是完全相同的。如果在安装 Oracle Solaris : 的过程中启用 IPv6,则主机将收到 TCP/IP 的双栈版本。

dynamic packet filter(动态包过滤器)

请参见 stateful packet filter(有状态包过滤器)

dynamic reconfiguration, DR(动态重新配置)

一种功能,允许您在系统运行的同时重新配置系统,而对正在进行的操作影响很小或者没有任何影响。并非所有 Sun 平台都支持 DR。有些 Sun 平台可能仅支持某些类型硬件(例如 NIC)的 DR。

encapsulating security payload, ESP(封装安全有效负荷)

为数据报提供完整性和保密性的扩展头。ESP 是 IP 安全体系结构 (IPsec) 的五个组件之一。

encapsulation(封装)

在第一个包中放置头和有效负荷的过程,随后将第一个包放置在第二个包的有效负荷中。

failback(故障恢复)

在检测到已修复接口后恢复对该接口的网络访问的过程。

failover(故障转移)

将网络访问从出现故障的接口切换到正常物理接口的过程。网络访问除包括 IPv6 单点传送和多点传送通信外,还包括 IPv4 单点传送、多点传送和广播通信。

failure detection(故障检测)

检测一个接口或从接口到 Internet 层设备的路径何时不再工作的过程。IP 网络多路径 (IP network multipathing, IPMP) 包括两种类型的故障检测: 基于链路的故障检测(缺省)和基于探测的故障检测(可选)。

filter(过滤器)

IPQoS 配置文件中定义类特性的一组规则。IPQoS 系统选择符合其 IPQoS 配置文件中过滤器的任何通信流以进行处理。请参见 packet filter(包过滤器)

firewall(防火墙)

将组织的专用网络或内联网与 Internet 隔离,从而防止它受到外部侵入的任何设备或软件。防火墙可以包括包过滤、代理服务器和 NAT(network address translation,网络地址转换)。

flow accounting(流记帐)

在 IPQoS 中,累积和记录有关通信流的信息的过程。通过在 IPQoS 配置文件中定义 flowacct 模块的参数,可以建立流记帐。

foreign agent(外地代理)

移动节点访问的外地网络中的路由器或服务器。

foreign network(外地网络)

除移动节点的家乡网络之外的任何网络。

forward tunnel(正向隧道)

开始于家乡代理并结束于移动节点的转交地址的隧道。

Generic Routing Encapsulation, GRE(通用路由封装)

可选的隧道传送形式,可以由家乡代理、外地代理和移动节点支持。GRE 允许将任何网络层协议的包封装在任何其他(或相同)网络层协议的传送包内。

hash value(散列值)

一个从文本字符串生成的数字。使用散列函数可以确保已传输的消息未被篡改。MD5SHA-1 都属于单向散列函数。

header(头)

请参见 IP header(IP 数据包头)

HMAC

用于进行消息验证的加密散列方法。HMAC 是密钥验证算法。HMAC 与重复加密散列函数(例如 MD5 或 SHA-1)以及机密共享密钥配合使用。HMAC 的加密能力取决于基础散列函数的特性。

home address(家乡地址)

为移动节点指定的 IP 地址,可延用较长的时间。移动节点连接到 Internet 或组织网络中的任何其他位置时,其家乡地址保持不变。

home agent(家乡代理)

移动节点的家乡网络中的路由器或服务器。

home network(家乡网络)

其网络前缀与移动节点家乡地址的网络前缀匹配的网络。

hop(跃点)

用于标识分隔两个主机的路由器数量的度量。如果源主机和目标主机之间有三个路由器,则这两个主机之间有四个跃点。

host(主机)

不执行包转发的系统。在安装 Oracle Solaris : 时,系统在缺省情况下成为主机,即系统无法转发包。一个主机通常具有一个物理接口,尽管它可以具有多个接口。

ICMP

Internet Control Message Protocol(Internet 控制消息协议)。用于处理错误和交换控制消息。

ICMP echo request packet(ICMP 回显请求包)

发送到 Internet 上的机器以要求响应的包。此类包通常称为 "ping" 包。

IKE

Internet Key Exchange(Internet 密钥交换)。IKE 使得为 IPsec security association, SA(安全关联)提供经过验证的加密材料自动完成。

Internet Protocol, IP(Internet 协议)

在 Internet 上将数据从一台计算机发送到另一台计算机所用的方法或协议。

IP

请参见 Internet Protocol, IP(Internet 协议)IPv4IPv6

IP datagram(IP 数据报)

通过 IP 传输的信息包。IP 数据报包含头和数据。头包括数据报的源地址和目标地址。头中的其他字段有助于标识和重新组合目标中数据报附带的数据。

IP header(IP 数据包头)

唯一标识 Internet 包的二十字节数据。该头包括包的源地址和目标地址。头中存在一个选项,该选项允许添加更多字节。

IP in IP encapsulation(IP-in-IP 封装)

封装在 IP 包中的 IP 包的隧道传送机制。

IP link(IP 链路)

通信工具或介质,节点可以通过它在链路层上进行通信。链路层是紧邻 IPv4/IPv6 层的下一层。例如以太网(简单或桥接)或 ATM 网络。可以将一个或多个 IPv4 子网号或前缀指定给一个 IP 链路。不能将一个子网号或前缀指定给多个 IP 链路。在 ATM LANE 中,一个 IP 链路便是一个仿真 LAN。在使用 ARP 时,ARP 协议的范围是单个 IP 链路。

IP stack(IP 栈)

TCP/IP 经常被称为“栈”。这是指数据交换的客户机端和服务器端的所有数据传送时所经过的各层(TCP 层、IP 层,有时还经过其他层)。

IPMP group(IPMP 组)

由具有一组数据地址的一组网络接口组成的 IP 多路径组,系统将这些数据地址视为可互换地址,从而可提高网络可用性和利用率。IPMP 组(包括其所有基础 IP 接口和数据地址)由一个 IPMP 接口表示。

IPQoS

一种软件功能,提供 diffserv model(diffserv 模型)标准的实现以及虚拟 LAN 的流记帐和 802.1 D 标记。使用 IPQoS,可以为用户和应用程序提供不同级别的网络服务(如 IPQoS 配置文件中所定义)。

IPsec

IP security(IP 安全性)。为 IP 数据报提供保护的安全体系结构。

IPv4

Internet 协议版本 4IPv4 有时称为 IP。此版本支持 32 位地址空间。

IPv6

Internet 协议版本 6IPv6 支持 128 位地址空间。

key management(密钥管理)

管理 security association, SA(安全关联)的方式。

keystore name(密钥库名称)

管理员为 network interface card, NIC(网络接口卡)上的存储区域(或密钥库)指定的名称。密钥库名称也称为标记或标记 ID。

link layer(链路层)

紧邻 IPv4/IPv6 的下一层。

link-local address(链路本地地址)

在 IPv6 中,用于在单个链路上寻址以实现诸如自动配置地址目的的标识。缺省情况下,链路本地地址是从系统的 MAC 地址创建的。

load spreading(负荷分配)

在一组接口中分配传入或外发通信的过程。通过负荷分配,可以获得较高的吞吐量。仅当网络通信流向使用多个连接的多个目标时,才会发生负荷分配。负荷分配有两种类型: 传入负荷分配(对于传入通信)和外发负荷分配(对于外发通信)。

local-use address(本地使用地址)

只能在本地范围内(在子网内或在用户网络内)路由的单点传送地址。此地址还可以具有本地或全局唯一性范围。

marker(标记器)

1. diffserv 体系结构和 IPQoS 中的一个模块,它使用指示包转发方式的值标记 IP 包的 DS 字段。在 IPQoS 实现中,标记器模块是 dscpmk

2. IPQoS 实现中的一个模块,它使用用户优先级值标记以太网数据报的虚拟 LAN 标记。用户优先级值指示使用 VLAN 设备在网络中转发数据报的方式。此模块称为 dlcosmk

MD5

一种重复加密散列函数,用于进行消息验证(包含数字签名)。该函数于 1991 年由 Rivest 开发。

message authentication code, MAC(消息验证代码)

MAC 可确保数据的完整性,并验证数据的来源。MAC 不能防止窃听。

meter(计量器)

diffserv 体系结构中的一个模块,用于度量特定类的通信流速率。IPQoS 实现包括以下两个计量器:tokenmttswtclmt

minimal encapsulation(最小封装)

家乡代理、外地代理和移动节点支持的可选 IPv4 嵌套隧道传送形式。最小封装的系统开销比 IP-in-IP 封装少 8 或 12 个字节。

mobile node(移动节点)

可以在使用其 IP 家乡地址保持所有现有通信的同时将其连接点从一个网络切换到另一个网络的主机或路由器。

mobility agent(移动代理)

家乡代理或外地代理。

mobility binding(移动绑定)

家乡地址与转交地址的关联以及该关联的剩余生命周期。

mobility security association(移动安全关联)

一对节点之间的安全措施(如验证算法)的集合,这些安全措施应用于在这两个节点之间交换的移动 IP 协议消息。

MTU

Maximum Transmission Unit(最大传输单元)。可以通过链路传输的大小,以八位字节表示。例如,以太网的 MTU 是 1500 个八位字节。

multicast address(多点传送地址)

以特定方式标识一组接口的 IPv6 地址。发送到多点传送地址的包将被传送到组中的所有接口。IPv6 多点传送地址与 IPv4 广播地址具有类似的功能。

multihomed host(多宿主主机)

具有多个物理接口且不执行包转发的系统。多宿主主机可以运行路由协议。

NAT

请参见 network address translation(网络地址转换)

neighbor advertisement(相邻节点通告)

对相邻节点的请求消息的响应,或一个节点发送未经请求的相邻节点通告以通告链路层地址更改的过程。

neighbor discovery(相邻节点搜索)

一种 IP 机制,使主机可以查找驻留在已连接链路上的其他主机。

neighbor solicitation(相邻节点请求)

由一个节点发送的请求,用于确定相邻节点的链路层地址。相邻节点请求还通过高速缓存的链路层地址验证相邻节点是否仍然可以访问。

Network Access Identifier, NAI(网络访问标识符)

以 user@domain 格式唯一标识移动节点的标识。

network address translation(网络地址转换)

NAT。将一个网络中使用的 IP 地址转换为另一个网络中已知的不同 IP 地址的过程。用于限制所需的全局 IP 地址的数目。

network interface card, NIC(网络接口卡)

作为网络接口的网络适配卡。一些 NIC 可以具有多个物理接口,如 qfe 卡。

node(节点)

在 IPv6 中,启用了 IPv6 的任何系统,而不管是主机还是路由器。

outcome(结果)

作为计量通信流量的结果而执行的操作。IPQoS 计量器具有三种结果:红色、黄色和绿色,如在 IPQoS 配置文件中所定义。

packet filter(包过滤器)

一种防火墙功能,可以配置为允许或禁止指定的包通过防火墙。

packet header(包头)

请参见 IP header(IP 数据包头)

packet(包)

通过通信线路作为一个单位传输的一组信息。包含 IP header(IP 数据包头)以及 payload(有效负荷)

payload(有效负荷)

通过包传输的数据。有效负荷不包括将包传输到其目标所需的头信息。

per-hop behavior, PHB(单跳行为)

为通信类指定的优先级。PHB 指示该类的流相对其他通信类的优先顺序。

perfect forward secrecy, PFS(完全正向保密)

在 PFS 中,不能使用保护数据传输的密钥派生其他密钥。此外,也不能使用保护数据传输的密钥的源派生其他密钥。

PFS 仅适用于经过验证的密钥交换。另请参见 Diffie-Hellman protocol(Diffie-Hellman 协议)

physical interface(物理接口)

系统与链路的连接。此连接通常作为设备驱动程序以及网络接口卡 (network interface card, NIC) 实现。一些 NIC 可以具有多个连接点,例如 qfe

PKI

Public Key Infrastructure(公钥基础结构)。由数字证书、证书颁发机构和其他注册机构组成的系统,用于检验和验证 Internet 事务中涉及的各方的有效性。

plumb(检测)

打开与物理接口名称关联的设备的行为。在检测接口时,将设置数据流以便 IP 协议可以使用该设备。在系统的当前会话期间,可以使用 ifconfig 命令检测接口。

private address(专用地址)

无法通过 Internet 进行路由的 IP 地址。无需 Internet 连通性的主机上的家乡网络可以使用专用地址。这些地址在 Address Allocation for Private Internets 中进行了定义,通常称为 "1918" 地址。

protocol stack(协议栈)

请参见 IP stack(IP 栈)

proxy server(代理服务器)

位于客户机应用程序(如 Web 浏览器)和另一个服务器之间的服务器。用于过滤请求-例如,阻止对某些 Web 站点的访问。

public key cryptography(公钥密码学)

一种加密系统,它使用两种不同的密钥。公钥对所有用户公开。私钥只对消息接收者公开。IKE 为 IPsec 提供公钥。

redirect(重定向)

在路由器中,通告主机有一个更好的第一跃点节点可以到达特定目标。

registration(注册)

移动节点离开家乡网络时使用其家乡代理和外地代理注册其转交地址的过程。

repair detection(修复检测)

检测 NIC 或从 NIC 到某个第 3 层设备的路径在出现故障后何时开始正常工作的过程。

replay attack(重放攻击)

在 IPsec 中,侵入者捕获了包的攻击。存储的包稍后将替换或重复原先的包。为了避免遭到此类攻击,可以在包中包含一个字段,并使该字段在包的保护密钥的生命周期内递增。

reverse tunnel(反向隧道)

开始于移动节点的转交地址并结束于家乡代理的隧道。

router advertisement(路由器通告)

路由器通告其存在以及各种链路和 Internet 参数的过程,要么是定期进行通告,要么是作为对路由器请求消息的响应进行通告。

router discovery(路由器搜索)

主机查找驻留在已连接链路上的路由器的过程。

router solicitation(路由器请求)

主机请求路由器以立即(而非下一个预定时间)生成路由器通告的过程。

router(路由器)

通常具有多个接口、运行路由协议并转发包的系统。如果只有一个接口的系统是 PPP 链路的端点,则可以将该系统配置为路由器。

RSA

获取数字签名和公钥密码系统的方法。该方法于 1978 年首次由其开发者 Rivest、Shamir 和 Adleman 介绍。

SA

请参见 security association, SA(安全关联)

SADB

Security Associations Database(安全关联数据库)。指定密钥和加密算法的表。在数据的安全传输中会使用这些密钥和算法。

SCTP

请参见 streams control transport protocol(流控制传输协议)。

security association, SA(安全关联)

指定从一个主机到另一个主机的安全属性的关联。

security parameter index, SPI(安全参数索引)

指定安全关联数据库 (security associations database, SADB) 中接收者应该用来对收到的包进行解密的行的一个整数。

security policy database, SPD(安全策略数据库)

指定应用于包的保护级别的数据库。SPD 对 IP 通信流量进行过滤,以确定一个包是应该被废弃、应该以明文方式进行传递还是应该用 IPsec 进行保护。

selector(选定器)

一个元素,专门用于定义应用于特定类的包的条件,以便从网络流中选择该类通信流量。可以在 IPQoS 配置文件的过滤子句中定义选定器。

SHA-1

Secure Hashing Algorithm(安全散列算法)。该算法可以在长度小于 264 的任何输入上运行以生成消息摘要。SHA-1 算法是 DSA 的输入。

site-local-use address(站点本地使用的地址)

用于在单个站点上寻址的标识。

smurf attack(smurf 攻击)

使用从远程位置定向到一个 IP broadcast address(广播地址)或多个广播地址的 ICMP echo request packet(ICMP 回显请求包)以造成严重的网络拥塞或故障。

sniff(探查)

在计算机网络中窃听-通常作为自动化程序的一部分,以便从线路中筛选出信息,如明文口令。

SPD

请参见 security policy database, SPD(安全策略数据库)

SPI

请参见 security parameter index, SPI(安全参数索引)

spoof(电子欺骗)

使用一个 IP 地址(该地址指示消息来自受信任主机)向计算机发送消息,以获取对该计算机的未经授权的访问。要进行 IP 电子欺骗,黑客必须先使用各种方法查找受信任主机的 IP 地址,然后修改包头以便使这些包看起来像是来自该主机。

stack(栈)

请参见 IP stack(IP 栈)

standby(待机接口)

不用来传输数据通信流量的物理接口,除非某个其他物理接口出现故障。

stateful packet filter(有状态包过滤器)

可以监视活动连接的状态和使用获取的信息确定允许哪些网络包通过 packet filter(包过滤器)firewall(防火墙)。通过跟踪和匹配请求与回复,有状态包过滤器可以筛选出与请求不匹配的回复。

stateless autoconfiguration(无状态自动配置)

主机通过组合其 MAC 地址和 IPv6 前缀(由本地 IPv6 路由器通告)生成自己的 IPv6 地址的过程。

stream control transport protocol(流控制传输协议)

以与 TCP 类似的方式提供面向连接的通信的传输层协议。此外,SCTP 还支持连接多宿主,即连接的端点之一可以具有多个 IP 地址。

symmetric key cryptography(对称密钥密码学)

一种加密系统,其中消息的发送者和接收者共享一个公用密钥。此公用密钥用于对消息进行加密和解密。对称密钥用于对在 IPsec 中大量传输的数据进行加密。DES 就是一个对称密钥系统。

TCP/IP

TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议/Internet 协议)是 Internet 的基本通信语言或协议。它还可以在专用网络(内联网或外联网)中用作通信协议。

test address(测试地址)

IPMP 组中只能用作探测器的源地址或目标地址而不能用作数据通信的源地址或目标地址的 IP 地址

Triple-DES(三重 DES)

Triple-Data Encryption Standard(三重数据加密标准)。一种对称密钥加密方法。三重 DES 要求密钥长度为 168 位。三重 DES 也写作 3DES。

tunnel(隧道)

datagram(数据报)在被封装时跟踪的路径。请参见 encapsulation(封装)

unicast address(单点传送地址)

标识启用了 IPv6 的节点的单个接口的 IPv6 地址。单点传送地址包括以下几部分:站点前缀、子网 ID 和接口 ID。

user-priority(用户优先级)

一个实现服务类标记的 3 位值,它定义如何在 VLAN 设备网络中转发以太网数据报。

virtual LAN (VLAN) device(虚拟 LAN 设备)

在 IP 协议栈的以太网(数据链路)级别上提供通信流量转发的网络接口。

virtual network interface, VNIC(虚拟网络接口)

提供虚拟网络连通性(不论是否是在物理网络接口上配置的)的伪接口。容器(如独占 IP 区域或 xVM 域)在 VNIC 上配置以形成虚拟网络。

virtual network(虚拟网络)

软件和硬件网络资源以及作为单个软件项同时管理的功能组合。内部 虚拟网络将网络资源整合到单个系统,有时称为“网络集成 (network in a box)”。

virtual private network, VPN(虚拟专用网络)

单个安全逻辑网络,使用跨公共网络(如 Internet)的隧道进行传输。