La tunnellisation est un moyen de déplacer des paquets d'un réseau à un autre. La tunnellisation fonctionne par encapsulation : elle consiste à envelopper un paquet dans un autre paquet.
Cet article s'articule autour des points suivants :
Contenu associé
Couche réseau
Qu'est-ce qu'un protocole ?
Protocole Internet (IP)
Qu'est-ce que le routage ?
Commutateur réseau
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Dans le monde physique, le tunnelage est un moyen de traverser un terrain ou des frontières qui ne pourraient normalement pas être franchis. De même, dans le domaine des réseaux, les tunnels sont une méthode pour transporter des données sur un réseau en utilisant des protocoles qui ne sont pas pris en charge par ce réseau. Les tunnels fonctionnent en encapsulant les paquets : ils enveloppent les paquets dans d'autres paquets . (Les paquets sont de petits morceaux de données qui peuvent être réassemblés à leur destination en un fichier plus important).
La tunnellisation est souvent utilisée dans les réseaux privés virtuels (VPN) . Il peut également établir des connexions efficaces et sécurisées entre les réseaux, permettre l'utilisation de protocoles réseau non pris en charge et, dans certains cas, permettre aux utilisateurs de contourner les pare-feu .
Les données qui circulent sur un réseau sont divisées en paquets. Un paquet typique comporte deux parties : l'en-tête, qui indique la destination du paquet et le protocole qu'il utilise, et la charge utile, qui est le contenu réel du paquet.
Un paquet encapsulé est essentiellement un paquet à l'intérieur d'un autre paquet. Dans un paquet encapsulé, l'en-tête et la charge utile du premier paquet sont placés dans la section de charge utile du paquet environnant. Le paquet d'origine devient lui-même la charge utile.
Tous les paquets utilisent des protocoles de réseau - des méthodes normalisées de formatage des données - pour atteindre leur destination. Cependant, tous les réseaux ne prennent pas en charge tous les protocoles. Imaginons qu'une entreprise souhaite mettre en place un réseau étendu (WAN) reliant les bureaux A et B. L'entreprise utilise le protocole IPv6, qui est la dernière version du protocole Internet (IP) , mais il existe un réseau entre les bureaux A et B qui ne prend en charge que le protocole IPv4. En encapsulant ses paquets IPv6 dans des paquets IPv4, l'entreprise peut continuer à utiliser IPv6 tout en envoyant des données directement entre les bureaux.
L'encapsulation est également utile pour les connexions réseau chiffrées. Le chiffrement est le processus qui consiste à brouiller les données de telle sorte qu'elles ne puissent être décodées qu'à l'aide d'une clé de chiffrement secrète ; le processus qui consiste à annuler le chiffrement est appelé déchiffrement . Si un paquet est entièrement chiffré, y compris l'en-tête, les routeurs du réseau ne pourront pas le transmettre à sa destination puisqu'ils ne disposent pas de la clé et ne peuvent pas voir son en-tête. En enveloppant le paquet chiffré dans un autre paquet non chiffré, le paquet peut traverser les réseaux normalement.
Un VPN est une connexion sécurisée et chiffrée sur un réseau partagé public. La tunnellisation est le processus par lequel les paquets VPN atteignent leur destination prévue, qui est généralement un réseau privé.
De nombreux VPN utilisent la suite de protocoles IPsec . IPsec est un groupe de protocoles qui s'exécutent directement au-dessus du protocole IP au niveau de la couche réseau . Le trafic réseau dans un tunnel IPsec est entièrement chiffré, mais il est déchiffré une fois qu'il atteint le réseau ou le périphérique de l'utilisateur. (IPsec possède également un mode appelé "transport mode" qui ne crée pas de tunnel).
Un autre protocole couramment utilisé pour les VPN est Transport Layer Security (TLS). Ce protocole fonctionne soit à la couche 6, soit à la couche 7 du modèle OSI, selon l'interprétation du modèle. TLS est parfois appelé SSL (Secure Sockets Layer), bien que SSL fasse référence à un ancien protocole qui n'est plus utilisé.
Habituellement, lorsqu'un utilisateur connecte son appareil à un VPN, tout son trafic réseau passe par le tunnel VPN. Le tunnelage fractionné permet à une partie du trafic de sortir du tunnel VPN. En substance, le tunnelage fractionné permet aux appareils des utilisateurs de se connecter à deux réseaux simultanément : un réseau public et un réseau privé.
Generic Routing Encapsulation (GRE) est l'un des nombreux protocoles de tunnellisation. GRE encapsule les paquets de données qui utilisent un protocole de routage à l'intérieur des paquets d'un autre protocole. GRE est un moyen d'établir une connexion directe point à point à travers un réseau, dans le but de simplifier les connexions entre des réseaux séparés.
Le GRE ajoute deux en-têtes à chaque paquet : l'en-tête GRE et un en-tête IP. L'en-tête GRE indique le type de protocole utilisé par le paquet encapsulé. L'en-tête IP encapsule l'en-tête et la charge utile du paquet original. Seuls les routeurs à chaque extrémité du tunnel GRE se référeront à l'en-tête IP original, un en-tête IP non GRE.
IP-in-IP est un protocole de tunnellisation permettant d'encapsuler des paquets IP dans d'autres paquets IP. L'IP-in-IP ne chiffre pas les paquets et n'est pas utilisé pour les VPN. Son utilisation principale est la mise en place de routes réseau qui ne seraient normalement pas disponibles.
Le protocole Secure Shell (SSH) établit des connexions chiffrées entre le client et le serveur, et peut également être utilisé pour créer un tunnel sécurisé. SSH fonctionne à la couche 7 du modèle OSI, la couche application. En revanche, IPsec, IP-in-IP et GRE fonctionnent au niveau de la couche réseau.
En plus de GRE, IPsec, IP-in-IP et SSH, d'autres protocoles de tunneling sont disponibles :
Cloudflare Magic Transit protège l'infrastructure réseau sur site, cloud, et hybride contre attaques DDoS et autres menaces. Pour que Magic Transit fonctionne, le réseau Cloudflare doit être connecté de manière sécurisée au réseau interne du client. Cloudflare utilise le tunneling GRE pour établir ces connexions. Grâce au tunneling GRE, Magic Transit est capable de se connecter directement aux réseaux des clients de Cloudflare en toute sécurité sur l'Internet public.