La tunelización (del inglés tunneling - "tunneling") en redes informáticas es un proceso durante el cual se crea una conexión lógica entre dos puntos finales mediante la encapsulación de varios protocolos. La tunelización es una técnica de red en la que un protocolo de red se encapsula dentro de otro. La tunelización difiere de los modelos de red en capas convencionales (como OSI o TCP/IP ) en que el protocolo que se encapsula está en la misma capa o en una capa inferior que la utilizada como túnel.
La esencia de la tunelización es "empaquetar" la porción de datos transmitida, junto con los campos de servicio, en el área de carga útil del paquete del protocolo del operador . La tunelización se puede aplicar en las capas de red y aplicación. La combinación de tunelización y cifrado hace posible la implementación de redes privadas virtuales (VPN) cerradas. La tunelización se suele utilizar para negociar protocolos de transporte o para crear una conexión segura entre los nodos de la red .
Los siguientes tipos de protocolos participan en el proceso de encapsulación (tunelización):
El protocolo de red de tránsito es portador y el protocolo de red convergente es transporte . Los paquetes de protocolo de transporte se colocan en el campo de datos de los paquetes de protocolo de portador utilizando un protocolo de encapsulación. Paquetes: los "pasajeros" no se procesan durante el transporte a través de la red de tránsito de ninguna manera. La encapsulación la realiza un dispositivo de borde (enrutador o puerta de enlace) que se encuentra en el límite entre las redes de origen y tránsito. La extracción de los paquetes de protocolo de transporte de los paquetes portadores la realiza el segundo dispositivo de borde ubicado en el límite entre la red de tránsito y la red de destino. Los dispositivos perimetrales indican sus direcciones en los paquetes portadores y no las direcciones de los nodos en la red de destino.
Se puede usar un túnel cuando dos redes con la misma tecnología de transporte necesitan conectarse a través de una red que usa una tecnología de transporte diferente. Al mismo tiempo, los enrutadores fronterizos que conectan las redes que se combinan con la de tránsito empaquetan los paquetes del protocolo de transporte de las redes combinadas en paquetes del protocolo de transporte de la red de tránsito. El segundo enrutador de borde realiza la operación inversa.
La tunelización generalmente conduce a soluciones más simples y rápidas que la transmisión, ya que resuelve un problema más específico sin proporcionar interacción con los nodos de la red de tránsito.
Los componentes principales del túnel son:
El iniciador del túnel incrusta (encapsula) los paquetes en un nuevo paquete que contiene, junto con los datos originales, un nuevo encabezado con información sobre el remitente y el destinatario. Aunque todos los paquetes transmitidos por el túnel son paquetes IP, los paquetes encapsulados pueden ser de cualquier tipo de protocolo, incluidos los paquetes de protocolo no enrutables. La ruta entre el iniciador del túnel y el terminador del túnel define una red IP enrutable normal , que puede ser una red distinta de Internet . El terminador de túnel realiza un proceso que es el inverso de la encapsulación: elimina los encabezados nuevos y reenvía cada paquete original a la pila de protocolos locales o al destino en la red local. La encapsulación en sí no tiene ningún efecto sobre la seguridad de los paquetes de mensajes enviados a través del túnel VPN . Pero la encapsulación permite una protección criptográfica completa de los paquetes encapsulados. La confidencialidad de los paquetes encapsulados está asegurada por su cierre criptográfico, es decir, el cifrado, y la integridad y autenticidad, mediante la generación de una firma digital . Dado que existen muchos métodos para la protección criptográfica de datos, es necesario que el iniciador y el terminador del túnel utilicen los mismos métodos y puedan ponerse de acuerdo sobre esta información entre sí. Además, para poder descifrar los datos y verificar la firma digital al recibirlos, el iniciador y el terminador del túnel deben admitir funciones de intercambio de claves seguras. Para garantizar que los túneles VPN se creen solo entre usuarios autorizados, las partes finales de la interacción deben estar autenticadas.