Tunneling (fra engelsk tunneling - "tunneling") i computernetværk er en proces, hvorunder der skabes en logisk forbindelse mellem to endepunkter ved at indkapsle forskellige protokoller. Tunneling er en netværksteknik, hvor en netværksprotokol er indkapslet i en anden. Tunneling adskiller sig fra konventionelle lagdelte netværksmodeller (såsom OSI eller TCP/IP ) ved, at protokollen, der indkapsles, er på samme eller lavere lag end det, der bruges som tunnel.
Essensen af tunneling er at " pakke " den transmitterede del af data, sammen med servicefelter, ind i nyttelastområdet for transportørprotokolpakken . Tunneling kan anvendes på netværket og applikationslagene. Kombinationen af tunneling og kryptering gør det muligt at implementere lukkede virtuelle private netværk (VPN'er). Tunneling bruges normalt til at forhandle transportprotokoller eller til at skabe en sikker forbindelse mellem netværksknuder .
Følgende typer protokoller deltager i indkapslingsprocessen (tunnelering):
Transitnetværksprotokollen er transportør , og den konvergerede netværksprotokol er transport . Transportprotokolpakkerne placeres i datafeltet for bærerprotokolpakkerne under anvendelse af en indkapslingsprotokol. Pakker-"passagerer" behandles ikke under transport gennem transitnettet på nogen måde. Indkapsling udføres af en kant-enhed (router eller gateway), der er placeret på grænsen mellem kilde- og transitnetværket. Udtrækningen af transportprotokolpakkerne fra bærerpakkerne udføres af den anden kantindretning placeret på grænsen mellem transitnetværket og destinationsnetværket. Edge-enheder angiver deres adresser i transportpakkerne og ikke adresserne på noder i destinationsnetværket.
En tunnel kan bruges, når to netværk med samme transportteknologi skal forbindes gennem et netværk ved hjælp af en anden transportteknologi. På samme tid pakker grænseroutere , der forbinder de netværk, der kombineres med transit-én, pakkerne af transportprotokollen for de kombinerede netværk til pakker af transportprotokollen for transitnetværket. Den anden grænserouter udfører den omvendte operation.
Tunneling fører normalt til enklere og hurtigere løsninger end broadcasting, da det løser et mere specifikt problem uden at give interaktion med transitnettets noder.
Hovedkomponenterne i tunnelen er:
Tunnelinitiatoren indlejrer (indkapsler) pakkerne i en ny pakke, der sammen med de originale data indeholder en ny header med information om afsender og modtager. Selvom alle pakker, der transmitteres over tunnelen, er IP-pakker, kan de indkapslede pakker være af enhver type protokol, herunder ikke-routbare protokolpakker. Ruten mellem tunnelinitiatoren og tunnelterminatoren definerer et almindeligt routbart IP -netværk , som kan være et andet netværk end internettet . Tunnelterminatoren udfører en proces, der er det omvendte af indkapsling - den fjerner nye headere og videresender hver original pakke til den lokale protokolstak eller destination på det lokale netværk. Indkapsling i sig selv har ingen effekt på sikkerheden af meddelelsespakker, der sendes over VPN- tunnelen . Men indkapsling muliggør fuldstændig kryptografisk beskyttelse af indkapslede pakker. Fortroligheden af de indkapslede pakker er sikret ved deres kryptografiske lukning, dvs. kryptering, og integriteten og ægtheden - ved at generere en digital signatur . Da der er mange metoder til kryptografisk beskyttelse af data, er det nødvendigt, at initiator og terminator af tunnelen bruger de samme metoder og kan blive enige om denne information med hinanden. For at kunne dekryptere data og verificere den digitale signatur ved modtagelsen skal initiatoren og terminatoren af tunnelen desuden understøtte sikre nøgleudvekslingsfunktioner. For at sikre, at VPN-tunneler kun oprettes mellem autoriserede brugere, skal slutparterne af interaktionen autentificeres.