Tunnelointi ( englanniksi tunnelointi - "tunneling") tietokoneverkoissa on prosessi, jonka aikana luodaan looginen yhteys kahden päätepisteen välille kapseloimalla erilaisia protokollia. Tunnelointi on verkkotekniikka, jossa yksi verkkoprotokolla kapseloidaan toiseen. Tunnelointi eroaa perinteisistä kerroksellisista verkkomalleista (kuten OSI tai TCP/IP ) siinä, että kapseloitu protokolla on samassa tai alemmalla tasolla kuin tunnelina käytetty.
Tunneloinnin ydin on "pakkaa" lähetetty data-osa palvelukenttineen kantoaaltoprotokollapaketin hyötykuorma -alueelle. Tunnelointia voidaan soveltaa verkko- ja sovellustasoilla. Tunneloinnin ja salauksen yhdistelmä mahdollistaa suljettujen virtuaalisten yksityisverkkojen (VPN) toteuttamisen. Tunnelointia käytetään yleensä neuvottelemaan siirtoprotokollia tai luomaan suojattu yhteys verkkosolmujen välille .
Seuraavan tyyppiset protokollat osallistuvat kapselointiprosessiin (tunnelointiin):
Siirtoverkkoprotokolla on kantaja ja konvergoitu verkkoprotokolla on kuljetus . Kuljetusprotokollapaketit sijoitetaan kantoaaltoprotokollapakettien tietokenttään käyttämällä kapselointiprotokollaa. Paketteja - "matkustajia" ei käsitellä kuljetusverkon läpi kuljetettaessa millään tavalla. Kapseloinnin suorittaa reunalaite (reititin tai yhdyskäytävä), joka sijaitsee lähde- ja siirtoverkon rajalla. Kuljetusprotokollapakettien purkaminen kantoaaltopaketeista suoritetaan siirtoverkon ja kohdeverkon välisellä rajalla sijaitsevalla toisella reunalaitteella. Edge-laitteet ilmoittavat osoitteensa operaattoripaketeissa, eivät kohdeverkon solmujen osoitteita.
Tunnelia voidaan käyttää, kun kaksi samaa kuljetustekniikkaa käyttävää verkkoa on yhdistettävä eri liikennetekniikkaa käyttävän verkon kautta. Samalla rajareitittimet , jotka yhdistävät yhdistettävät verkot kauttakulkuun, pakkaavat yhdistettyjen verkkojen siirtoprotokollan paketit kauttakulkuverkon siirtoprotokollan paketeiksi . Toinen rajareititin suorittaa käänteisen toiminnon.
Tunnelointi johtaa yleensä yksinkertaisempiin ja nopeampiin ratkaisuihin kuin yleislähetys, koska se ratkaisee tarkemman ongelman ilman vuorovaikutusta kauttakulkuverkon solmujen kanssa.
Tunnelin pääkomponentit ovat:
Tunnelin aloittaja upottaa (kapseloi) paketit uudeksi paketiksi, joka sisältää alkuperäisen tiedon lisäksi uuden otsikon lähettäjästä ja vastaanottajasta. Vaikka kaikki tunnelin kautta lähetettävät paketit ovat IP-paketteja, kapseloidut paketit voivat olla minkä tahansa tyyppisiä protokollia, mukaan lukien ei-reititettävät protokollapaketit. Tunnelin aloittajan ja tunnelin päätteen välinen reitti määrittää tavallisen reititettävän IP -verkon , joka voi olla muu verkko kuin Internet . Tunnelin päättäjä suorittaa prosessin, joka on päinvastainen kapseloinnille - se poistaa uudet otsikot ja välittää jokaisen alkuperäisen paketin paikalliseen protokollapinoon tai määränpäähän paikallisessa verkossa. Itse kapseloinnilla ei ole vaikutusta VPN -tunnelin kautta lähetettyjen viestipakettien turvallisuuteen . Mutta kapselointi mahdollistaa kapseloitujen pakettien täydellisen kryptografisen suojauksen. Kapseloitujen pakettien luottamuksellisuus varmistetaan niiden kryptografisella sulkemisella eli salauksella sekä eheydellä ja aitoudella - generoimalla digitaalinen allekirjoitus . Koska tietojen salaussuojaukseen on monia menetelmiä, on välttämätöntä, että tunnelin aloittaja ja päättäjä käyttävät samoja menetelmiä ja pystyvät sopia näistä tiedoista keskenään. Lisäksi voidakseen purkaa datan salauksen ja tarkistaa digitaalisen allekirjoituksen vastaanotettaessa, tunnelin aloittajan ja päättäjän on tuettava suojattuja avaintenvaihtotoimintoja. Jotta voidaan varmistaa, että VPN-tunneleita luodaan vain valtuutettujen käyttäjien välille, vuorovaikutuksen loppuosapuolet on todennettu.