Tunnelarea (din engleză tunneling - „tunnel”) în rețelele de calculatoare este un proces în timpul căruia se creează o conexiune logică între două puncte finale prin încapsularea diferitelor protocoale. Tunnelarea este o tehnică de rețea în care un protocol de rețea este încapsulat în altul. Tunnelarea diferă de modelele convenționale de rețea stratificată (cum ar fi OSI sau TCP/IP ) prin faptul că protocolul care este încapsulat este la același nivel sau mai jos decât cel utilizat ca tunel.
Esența tunelului este „ambalarea” porțiunii transmise de date, împreună cu câmpurile de servicii, în zona de încărcare utilă a pachetului de protocol de transport . Tunnelarea poate fi aplicată la nivelul rețelei și al aplicației. Combinația dintre tunel și criptare face posibilă implementarea rețelelor private virtuale închise (VPN). Tunnelarea este de obicei folosită pentru a negocia protocoale de transport sau pentru a crea o conexiune sigură între nodurile de rețea .
Următoarele tipuri de protocoale iau parte la procesul de încapsulare (tunel):
Protocolul rețelei de tranzit este purtător , iar protocolul rețelei convergente este transport . Pachetele de protocol de transport sunt plasate în câmpul de date al pachetelor de protocol purtător folosind un protocol de încapsulare. Pachetele-„pasageri” nu sunt procesate în timpul transportului prin rețeaua de tranzit în niciun fel. Încapsularea este realizată de un dispozitiv edge (router sau gateway) care se află la granița dintre rețelele sursă și de tranzit. Extragerea pachetelor de protocol de transport din pachetele purtător se realizează de către dispozitivul de margine a doua situat la granița dintre rețeaua de tranzit și rețeaua de destinație. Dispozitivele Edge își indică adresele în pachetele de transport, și nu adresele nodurilor din rețeaua de destinație.
Un tunel poate fi utilizat atunci când două rețele cu aceeași tehnologie de transport trebuie conectate printr-o rețea folosind o tehnologie de transport diferită. În același timp, routerele de frontieră care conectează rețelele în curs de combinare cu cel de tranzit împachetează pachetele protocolului de transport al rețelelor combinate în pachete ale protocolului de transport al rețelei de tranzit. Al doilea router de frontieră efectuează operația inversă.
Tunnelarea conduce de obicei la soluții mai simple și mai rapide decât difuzarea, deoarece rezolvă o problemă mai specifică fără a asigura interacțiunea cu nodurile rețelei de tranzit.
Principalele componente ale tunelului sunt:
Inițiatorul tunelului înglobează (încapsulează) pachetele într-un nou pachet care conține, împreună cu datele originale, un nou antet cu informații despre expeditor și destinatar. Deși toate pachetele transmise prin tunel sunt pachete IP, pachetele încapsulate pot fi de orice tip de protocol, inclusiv pachete de protocol non-routable. Ruta dintre inițiatorul tunelului și terminatorul tunelului definește o rețea IP rutabilă obișnuită , care poate fi o altă rețea decât Internetul . Terminatorul de tunel efectuează un proces care este inversul încapsulării - elimină noile anteturi și trimite fiecare pachet original către stiva sau destinația de protocol local din rețeaua locală. Încapsularea în sine nu are niciun efect asupra securității pachetelor de mesaje trimise prin tunelul VPN . Dar încapsularea permite protecția criptografică completă a pachetelor încapsulate. Confidențialitatea pachetelor încapsulate este asigurată de închiderea lor criptografică, adică criptare, iar integritatea și autenticitatea - prin generarea unei semnături digitale . Deoarece există multe metode pentru protecția criptografică a datelor, este necesar ca inițiatorul și terminatorul tunelului să utilizeze aceleași metode și să poată conveni între ele asupra acestor informații. Mai mult, pentru a putea decripta datele și a verifica semnătura digitală la primire, inițiatorul și terminatorul tunelului trebuie să suporte funcții securizate de schimb de chei. Pentru a vă asigura că tunelurile VPN sunt create numai între utilizatori autorizați, părțile finale ale interacțiunii trebuie să fie autentificate.