Tunneling ist eine Möglichkeit, Pakete von einem Netz in ein anderes zu übertragen. Tunneling funktioniert durch Verkapselung: ein Paket wird in ein anderes Paket eingepackt.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
In der physischen Welt braut man Tunnel, um Terrain oder Grenzen zu überwinden, die normalerweise nicht überquert werden können. In der Netzwerktechnik ist Tunneling eine Methode, um Daten über ein Netzwerk zu transportieren, wobei Protokolle verwendet werden, die von diesem Netzwerk nicht unterstützt werden. Tunneling funktioniert durch die Verkapselung von Paketen: das Einwickeln von Paketen in andere Pakete. (Pakete sind kleine Datenstücke, die am Zielort wieder zu einer größeren Datei zusammengesetzt werden können.)
Tunneling wird häufig in virtuellen privaten Netzwerken (VPNs) eingesetzt. Es kann auch effiziente und sichere Verbindungen zwischen Netzwerken herstellen, ebenso wie die Verwendung nicht unterstützter Netzwerkprotokolle ermöglichen und es Nutzern in manchen Fällen erlauben, Firewalls zu umgehen.
Daten, die über ein Netzwerk übertragen werden, werden in Pakete aufgeteilt. Ein typisches Paket besteht aus zwei Teilen: dem Header, der das Ziel des Pakets und das verwendete Protokoll angibt, und der Nutzlast, die eigentliche Nutzlast des Pakets.
Ein eingekapseltes Paket ist praktisch ein Paket innerhalb eines anderen Pakets. In einem eingekapselten Paket befinden sich der Header und die Nutzlast des ersten Pakets innerhalb des Nutzlastbereichs des umgebenden Pakets. Das ursprüngliche Paket selbst wird zur Nutzlast.
Alle Pakete gelangen über Netzwerkprotokolle – standardisierte Verfahren zur Formatierung von Daten – an ihr Ziel. Allerdings unterstützen nicht alle Netzwerke alle Protokolle. Stellen Sie sich vor, ein Unternehmen möchte ein Wide Area Network (WAN) einrichten, das Büro A und Büro B miteinander verbindet. Das Unternehmen verwendet das IPv6-Protokoll, die neueste Version des Internetprotokolls (IP), aber zwischen Büro A und Büro B existiert ein Netzwerk, das bisher nur IPv4 unterstützt. Durch die Einkapselung von IPv6-Paketen in IPv4-Paketen kann das Unternehmen die Daten weiterhin direkt über IPv6 zwischen den Büros versenden.
Einkapselung ist auch für verschlüsselte Netzwerkverbindungen nützlich. Bei der Verschlüsselung werden die Daten so verschlüsselt, dass sie nur mit einem geheimen Verschlüsselungscode entschlüsselt werden können. Wenn ein Paket vollständig verschlüsselt ist, einschließlich des Headers, können Netzwerkrouter das Paket nicht an sein Ziel weiterleiten. Denn sie kennen den Schlüssel nicht und können den Header nicht sehen. Wenn Sie das verschlüsselte Paket in ein anderes, unverschlüsseltes Paket einpacken, kann das Paket ganz normal durch die Netzwerke reisen.
Ein VPN ist eine sichere, verschlüsselte Verbindung über ein öffentlich zugängliches Netzwerk. Tunneling ist der Prozess, durch den VPN-Pakete ihr beabsichtigtes Ziel erreichen, das sich in der Regel in einem privaten Netzwerk befindet.
Viele VPNs verwenden die IPsec-Protokollsuite. IPsec ist eine Gruppe von Protokollen, die auf der Netzwerkebene direkt über IP laufen. Der Netzwerk-Traffic in einem IPsec Tunnel ist vollständig verschlüsselt, wird aber entschlüsselt, sobald er entweder das Netzwerk oder das Gerät des Nutzers erreicht. (IPsec bietet auch einen Modus, der als“Transportmodus inspection“bezeichnet wird und bei dem kein Tunnel aufgebaut wird).
Ein weiteres Protokoll, das häufig für VPNs verwendet wird, ist Transport Layer Security (TLS). Dieses Protokoll arbeitet entweder auf Ebene 6 oder Ebene 7 des OSI-Modells, je nachdem, wie das Modell interpretiert wird. TLS wird manchmal auch als SSL (Secure Sockets Layer) bezeichnet, obwohl sich SSL auf ein älteres Protokoll bezieht, das nicht mehr verwendet wird.
Wenn ein Nutzer sein Gerät mit einem VPN verbindet, wird normalerweise der gesamte Netzwerk-Traffic durch den VPN-Tunnel geleitet. Beim Split Tunneling wird ein Teil des Traffics außerhalb des VPN-Tunnels geleitet. Im Wesentlichen ermöglicht Split Tunneling den Nutzern, sich mit zwei Netzwerken gleichzeitig zu verbinden: einem öffentlichen und einem privaten.
Generic Routing Encapsulation (GRE) ist eines von mehreren Tunneling-Protokollen. GRE kapselt Datenpakete, die ein Routing-Protokoll verwenden, in die Pakete eines anderen Protokolls ein. Mit GRE können Sie eine direkte Punkt-zu-Punkt-Verbindung über ein Netzwerk einrichten, um die Verbindungen zwischen getrennten Netzwerken zu vereinfachen.
GRE fügt jedem Paket zwei Header hinzu: den GRE-Header und einen IP-Header. Der GRE-Header gibt den Protokolltyp an, der von dem eingekapselten Paket verwendet wird. Der IP-Header kapselt den IP-Header und die Nutzlast des Originalpakets ein. Nur die Router an jedem Ende des GRE-Tunnels beziehen sich auf den ursprünglichen, nicht-GRE-IP-Header.
IP-in-IP ist ein Tunneling-Protokoll zur Einkapselung von IP-Paketen in anderen IP-Paketen. IP-in-IP verschlüsselt keine Pakete und wird nicht für VPNs verwendet. Sein Haupteinsatzgebiet ist die Einrichtung von Netzwerkrouten, die normalerweise nicht zur Verfügung stehen würden.
Das Secure Shell (SSH)-Protokoll stellt verschlüsselte Verbindungen zwischen Client und Server her und kann auch zum Aufbau eines sicheren Tunnels verwendet werden. SSH arbeitet auf Ebene 7 des OSI-Modells, der Anwendungsebene. Im Gegensatz dazu arbeiten IPsec, IP-in-IP und GRE auf der Netzwerkebene.
Neben GRE, IPsec, IP-in-IP und SSH gibt es weitere Tunneling-Protokolle:
Cloudflare Magic Transit schützt vor Ort, in der Cloud und in hybriden Netzwerkinfrastrukturen vor DDoS-Angriffen und anderen Bedrohungen. Damit Magic Transit funktionieren kann, muss das Cloudflare-Netzwerk sicher mit dem internen Netzwerk des Kunden verbunden sein. Diese Verbindung stellt Cloudflare über GRE Tunneling her. Mit GRE Tunneling ist Magic Transit in der Lage, sich direkt und sicher über das öffentliche Internet mit den Netzwerken der Cloudflare-Kunden zu verbinden.