IP -туннель — это сетевой канал связи по протоколу Интернета (IP) между двумя сетями. Он используется для транспортировки другого сетевого протокола путем инкапсуляции его пакетов .
IP-туннели часто используются для соединения двух разрозненных IP-сетей, не имеющих собственного маршрутного пути друг к другу, через базовый маршрутизируемый протокол через промежуточную транспортную сеть. В сочетании с протоколом IPsec они могут использоваться для создания виртуальной частной сети между двумя или более частными сетями через публичную сеть, такую как Интернет . Другое известное применение — соединение островов установок IPv6 через Интернет IPv4 .
При IP-туннелировании каждый IP-пакет, включая адресную информацию об исходных и целевых IP-сетях, инкапсулируется в другой формат пакета, присущий транзитной сети.
На границах между исходной сетью и транзитной сетью, а также транзитной сетью и сетью назначения используются шлюзы, которые устанавливают конечные точки IP-туннеля через транзитную сеть. Таким образом, конечные точки IP-туннеля становятся собственными IP-маршрутизаторами, которые устанавливают стандартный IP-маршрут между исходной и целевой сетями. Пакеты, проходящие через эти конечные точки из транзитной сети, удаляются из заголовков и трейлеров формата транзитного кадра, используемых в протоколе туннелирования , и, таким образом, преобразуются в собственный формат IP и вводятся в IP-стек конечных точек туннеля. Кроме того, удаляются любые другие инкапсуляции протоколов, используемые во время транзита, такие как IPsec или Transport Layer Security .
IP в IP , иногда называемый ipencap , является примером инкапсуляции IP в IP и описан в RFC 2003. Другими вариантами разновидности IP-in-IP являются IPv6-in-IPv4 ( 6in4 ) и IPv4-in-IPv6 ( 4in6 ).
IP-туннелирование часто обходит простые правила брандмауэра прозрачно, поскольку конкретная природа и адресация исходных датаграмм скрыты. Для блокировки IP-туннелей обычно требуется программное обеспечение для управления контентом .
Первая спецификация IP-туннелирования была в RFC 1075, в котором описывался DVMRP , первый протокол маршрутизации IP-мультикастов. Поскольку многоадресная передача использовала специальные адреса IPv4, тестирование DVMRP требовало способа передачи IP-датаграмм через части Интернета, которые еще не распознавали многоадресные адреса. Эта проблема была решена с помощью IP-туннелирования. Первый подход к IP-туннелированию использовал опцию IP Loose Source Route and Record (LSRR) для скрытия многоадресного адреса от маршрутизаторов, не поддерживающих многоадресную передачу. Маршрутизатор назначения, поддерживающий многоадресную передачу, удалял опцию LSRR из пакета и восстанавливал многоадресный IP-адрес в поле назначения IP пакета. Другим подходом в спецификации DVMRP был IP в IP, как описано выше. IP в IP вскоре стал предпочтительным подходом и позже был использован в Mbone .