Tunel IP
Tunel IP to kanał komunikacji sieciowej protokołu internetowego (IP) między dwiema sieciami. Służy do transportu innego protokołu sieciowego poprzez enkapsulację jego pakietów .
Tunele IP są często używane do łączenia dwóch rozłącznych sieci IP, które nie mają do siebie natywnej ścieżki routingu, za pośrednictwem podstawowego protokołu rutowania w pośredniej sieci transportowej. W połączeniu z IPsec mogą być używane do tworzenia wirtualnej sieci prywatnej między dwiema lub więcej sieciami prywatnymi w sieci publicznej, takiej jak Internet . Innym ważnym zastosowaniem jest łączenie wysp IPv6 w Internecie IPv4 .
W przypadku tunelowania IP każdy pakiet IP, w tym informacje adresowe jego źródłowej i docelowej sieci IP, jest umieszczany w innym formacie pakietu natywnym dla sieci tranzytowej.
Na granicach między siecią źródłową a siecią tranzytową, a także siecią tranzytową i siecią docelową, używane są bramki, które wyznaczają punkty końcowe tunelu IP w sieci tranzytowej. W ten sposób punkty końcowe tunelu IP stają się natywnymi routerami IP, które ustanawiają standardową trasę IP między sieciami źródłowymi i docelowymi. Pakiety przechodzące przez te punkty końcowe z sieci tranzytowej są usuwane z nagłówków formatu ramki tranzytowej i końcówek używanych w protokole tunelowania i w ten sposób konwertowany do natywnego formatu IP i wstrzykiwany do stosu IP punktów końcowych tunelu. Ponadto usuwane są wszelkie inne enkapsulacje protokołów używane podczas przesyłania, takie jak IPsec lub Transport Layer Security .
IP w IP , czasami nazywany ipencap , jest przykładem enkapsulacji IP w IP i jest opisany w dokumencie RFC 2003. Inne warianty odmiany IP-w-IP to IPv6-w-IPv4 ( 6w4 ) i IPv4-w-IPv6 ( 4w6 ).
Tunelowanie IP często w przejrzysty sposób omija proste reguły firewalla , ponieważ specyficzny charakter i adresowanie oryginalnych datagramów są ukryte. Oprogramowanie do kontroli zawartości jest zwykle wymagane do blokowania tuneli IP.
Historia
Pierwsza specyfikacja tunelowania IP znajdowała się w dokumencie RFC 1075, w którym opisano DVMRP , pierwszy protokół routingu multiemisji IP. Ponieważ multiemisja wykorzystywała specjalne adresy IPv4, testowanie DVMRP wymagało sposobu na uzyskanie datagramów IP w częściach Internetu, które jeszcze nie rozpoznawały adresów multiemisji. Zostało to rozwiązane przez tunelowanie IP. Pierwsze podejście do tunelowania IP wykorzystywało opcję IP Loose Source Route and Record (LSRR) w celu ukrycia adresu multiemisji przed routerami, które nie obsługują multiemisji. Router docelowy obsługujący multiemisję usunąłby opcję LSRR z pakietu i przywróciłby adres IP multiemisji do pola docelowego adresu IP pakietu. Innym podejściem w specyfikacji DVMRP było IP w IP, jak opisano powyżej. IP w IP szybko stało się preferowanym podejściem, a później zostało wykorzystane w Mbone .