Tunneling

Tunneling heißt der Prozess, bei dem zwei unterschiedliche Protokolle auf der gleichen Schicht miteinander verkapselt werden. Die Daten des einen Protokolls werden in die Datenpakete des zweiten Protokolls verpackt.

Tunneling-Techniken im Vergleich

Dieses Verfahren wird beim Übergang von einem Protokoll auf ein anderes angewendet, beispielsweise bei IP over ATM. Es dient dazu Daten über ein unsicheres öffentliches Netz, wie das Internet, zwischen einem zentralen VPN-Gateway und einem Remote-VPN-Client zu transportieren. Dabei wird zwischen den Endpunkten eine virtuelle Verbindung aufgebaut. Ein Tunnel wird dadurch aufgebaut, indem jedes Datenpaket einen zusätzlichen IP-Header erhält, darüber hinaus ein oder mehrere spezielle Kopffelder. Der Anfangspunkt des Tunnels ist dort, wo der IP-Header hinzugefügt wird, der Endpunkt, wo dieser wieder entfernt wird. Die Authentifizierung und Verschlüsselung findet innerhalb des Tunnels statt.

Als Standardmethode für den Transport von Multiprotokoll-Datagrammen wird das PPP-Protokoll oder das ML-PPP eingesetzt.

Tunneling auf Schicht 2

Tunneling kann auf der Schicht 2 und der Schicht 3 erfolgen. Ein Layer-2-Tunnel entspricht einem »virtuellen Kabel«, das über die IP-Plattform hinweg aufbauen lässt. Er ist multiprotokollfähig und unterstützt neben dem IP-Protokoll IPX, SNA, DECnet oder NetBIOS. An Ebene-2-Protokollen für das Tunneling sind zu nennen, das von Microsoft unterstützte PPTP-Protokoll, das GRE-Protokoll, das L2F-Protokoll von Cisco, das L2TP-Protokoll, das die Vorteile beider Verfahren vereint und standardisiert ist und das L2Sec-Protokoll.

Tunneling auf Schicht 3

Das Tunneling auf Schicht 3 des OSI-Referenzmodells ist im Gegensatz zum Schicht-2-Tunneling nicht multiprotokollfähig. Es bezieht sich immer auf ein bestimmtes Netzwerkprotokoll, so beispielsweise auf das IP-Protokoll. Mit IPSec kann ein Tunnel mit entsprechender Sicherheit für IP aufgebaut werden. In den RFCs 2401 bis 2409 wird beschrieben, wie ein entsprechendes virtuelles privates Netzwerk (VPN) aufgebaut werden kann. Des weiteren gibt es das Generic Routing Encapsulation-Protokoll (GRE) nach RFC 1701, das dem IPSec sehr ähnlich, aber inkompatibel zu diesem ist. Darüber hinaus sind zu nennen das Mobile-IP, mit dem sich eine IETF-Arbeitsgruppe beschäftigt, das Virtual Tunneling Protocol (VTP), das das GRE zur Einkapselung benutzt, und proprietäre Tunneling-Protokolle.