Tunneling heißt der Prozess, bei dem zwei unterschiedliche Protokolle auf
der gleichen Schicht miteinander verkapselt werden. Die Daten des einen Protokolls werden in
die Datenpakete des zweiten Protokolls verpackt.
Tunneling wird beim Übergang von einem
Protokoll auf ein anderes angewendet, beispielsweise bei " IP over ATM" (IPoA). Es dient dazu Daten über ein unsicheres öffentliches Netz,
wie das Internet, zwischen einem zentralen VPN-Gateway und einem Remote-VPN-Client zu transportieren. Dabei wird zwischen den Endpunkten
eine virtuelle Verbindung aufgebaut. Ein Tunnel wird dadurch aufgebaut, indem jedes Datenpaket einen zusätzlichen IP-Header
erhält, darüber hinaus ein oder mehrere spezielle Kopffelder. Der Anfangspunkt des Tunnels ist dort, wo der IP-Header hinzugefügt wird, der Endpunkt, wo dieser wieder entfernt wird. Die Authentifizierung und Verschlüsselung findet
innerhalb des Tunnels statt.
Als
Standardmethode für den Transport von Multiprotokoll-Datagrammen wird das
Point-to-Point Protocol (PPP) oder das
Multilink
PPP Protocol (ML-PPP) eingesetzt.
Tunneling auf den Schichten 2 und 3
Tunneling kann auf der Schicht 2 und der Schicht 3 erfolgen. Ein Layer-2-Tunnel entspricht einem »virtuellen Kabel«,
das über die IP-Plattform hinweg aufbauen lässt. Er ist multiprotokollfähig und unterstützt neben dem IP-Protokoll
Internetwork Packet Exchange
Protocol (IPX),
System Network Architecture (SNA),
DECnet
oder
NetBIOS. An Ebene-2-Protokollen für das Tunneling sind zu nennen, das von Microsoft unterstützte
Point
to Point Tunneling Protocol (PPTP), das
Generic Routing Encapsulation (GRE), das
Layer 2
Forwarding (L2F), von Cisco, das
Layer 2 Tunneling Protocol (L2TP), das die Vorteile beider Verfahren vereint und standardisiert
ist und
Layer 2 Security (L2Sec).
Das Tunneling auf Schicht 3 des
OSI-Referenzmodells ist im Gegensatz zum Schicht-2-Tunneling nicht multiprotokollfähig.
Es bezieht sich immer auf ein bestimmtes
Netzwerkprotokoll, so beispielsweise auf das IP-Protokoll. Mit
IPsec
kann für das IP-Protokoll ein Tunnel mit entsprechender Sicherheit aufgebaut werden. In den
RFCs 2401 bis 2409 wird beschrieben, wie ein
entsprechendes
virtuelles privates Netzwerk (VPN) aufgebaut werden kann. Des weiteren gibt es das Generic Routing Encapsulation Protokoll
(GRE) nach
RFC 1701, das dem IPsec sehr ähnlich, aber inkompatibel zu diesem ist. Darüber hinaus sind zu nennen das
Mobile-IP,
mit dem sich eine IETF-Arbeitsgruppe beschäftigt, das
Virtual Tunneling Protocol (VTP), das das Generic Routing Encapsulation zur Einkapselung
benutzt, und proprietäre Tunneling-Protokolle.