O que é tunelamento?

"Tunelamento" envolve encapsular uma camada específica dentro de outra instância da mesma camada (por exemplo, pacotes da camada de rede dentro da camada de rede) ou dentro de uma camada superior (por exemplo, pacotes da camada de rede dentro de uma conexão da camada de transporte), em oposição à ordem normal das camadas.

Provavelmente, o uso mais comum do tunelamento é o IPv4 em IPv4, feito por software VPN (tanto corporativo quanto comercial).

O que significa prestar um serviço que normalmente não é fornecido pela rede?

Considere, por exemplo, uma rede como a internet, que roteia apenas IPv4 e IPv6. Normalmente, isso significa que você não pode usar outros protocolos de rede, como AppleTalk, DECnet ou ISO CLNP ^1, pela internet – a maioria dos roteadores que compõem a rede não reconhece esses pacotes (e os poucos que reconhecem, não conhecem as rotas para encaminhá-los).

Mas você pode configurar um túnel que encapsula o AppleTalk em IPv4 – colocando todo o pacote da "camada de rede" dentro de outro pacote da "camada de rede" – para que a Internet possa transportá-lo como se fosse IPv4, processando apenas o cabeçalho IPv4 externo, até que o host na outra extremidade do túnel o coloque de volta em uma rede AppleTalk nativa.

Portanto, neste exemplo, o roteamento AppleTalk seria um serviço não fornecido pela rede de internet, mas o tunelamento permite que o AppleTalk seja transmitido pela internet independentemente. (Existem redes de "computação retro" reais que transmitem AppleTalk em IP, X.25 em TCP e assim por diante.)

Na prática semimoderna, isso tem sido muito comumente usado para fornecer serviço IPv6 em redes que normalmente forneciam apenas IPv4 (o SiXXS costumava fornecer esses túneis e o Tunnelbroker.net ainda faz isso), enquanto hoje em dia você encontrará ISPs fazendo o oposto e fornecendo serviço IPv4 usando túneis em uma rede somente IPv6 (acredito que seja chamado de DS-Lite).

¹ A propósito, o ISO CLNP é o equivalente ao IP no "conjunto de protocolos OSI". Li nos arquivos da lista de discussão NANOG/NSFNET que algumas operadoras costumavam rotear CLNP na década de 1990, mas mesmo assim mudaram rapidamente para um núcleo somente IP com CLNP tunelado por ele. (O oposto também é possível; meus antigos roteadores Cisco conseguem tunelar tanto CLNP sobre IP quanto IP sobre CLNP.)

A referência a "pacotes" aqui talvez seja um critério conveniente para a compreensão do processo, mas nem todas as redes (aqui, referindo-se a protocolos de rede em vez de instâncias) são baseadas em pacotes. Vale ressaltar também que o Protocolo de Internet NÃO está em conformidade com o modelo OSI, embora a terminologia deste último seja frequentemente aplicada ao primeiro.

Todas as redes podem ser consideradas como diversas camadas de abstração que separam as funções de codificação, criptografia, integridade, endereçamento... O tunelamento descreve o empilhamento de algumas camadas de um protocolo de rede sobre outro protocolo, ou até mesmo uma instância diferente do mesmo protocolo.

As VPNs da Internet empilham (TCP/UDP/ICMP) + IP sobre TCP/IP ou UDP/IP. Mas é importante observar que a pilha combinada pode ser distribuída entre mais de um dispositivo em cada extremidade da comunicação.

No contexto do artigo, o termo "Serviço" se refere ao protocolo de rede, endereçamento e roteamento, e não à forma como é comumente usado com IP para descrever as coisas que são executadas sobre IP (SMTP, HTTP, SMB...).

Se (digamos) eu, no Reino Unido, estivesse enviando presentes de Natal para uma família na Alemanha, eu embrulharia cada presente separadamente e adicionaria uma etiqueta com o nome do destinatário – sendo esta última a informação de endereço no sentido da rede. Em seguida, eu embrulharia os presentes em um único pacote etiquetado com o endereço postal que os serviços postais conseguem reconhecer. Este é um exemplo de tunelamento (que usa pacotes!). A Deutsche Post não saberia o que fazer com um pacote endereçado ao Tio Hans – mas alguém no endereço postal sabe.

Por outro lado, se eu chegasse naquele endereço com os presentes, a embalagem externa, etiquetada com o endereço postal, não seria necessária. Não preciso fazer o envio pelos Correios.

Além da outra resposta , há também o modo de túnel IPsec :

O modo de túnel IPsec opera no nível de rede para criptografar pacotes IP, encapsulados em um novo pacote IP com um novo cabeçalho IP.

Isso permite que a comunicação entre hosts seja criptografada sem a necessidade de fazer alterações nos aplicativos ¹ , como seria necessário para outras soluções, como TLS/SSL .

O corpo da pergunta pergunta:

O que significa prestar um serviço que normalmente não é fornecido pela rede ?

Pode-se argumentar que um túnel IPsec não adiciona diretamente um serviço que normalmente não é fornecido pela rede. No entanto, é um exemplo de " O que é tunelamento?" , que é o título da pergunta.

¹ O artigo NordLayer IPsec (Internet Protocol Security) VPN contém o seguinte, portanto, a adição de um túnel pode impactar alguns aplicativos:

Transparência para aplicativos . O IPSec funciona como uma solução de segurança integrada na camada de rede. Isso permite que ele funcione com praticamente qualquer aplicativo.

O que significa prestar um serviço que normalmente não é fornecido pela rede?

Por exemplo, alguém em um aeroporto pode precisar se conectar a um serviço remoto, como um banco de dados SQL Server, mas não consegue devido a um firewall.

Para habilitar isso, primeiro um túnel é estabelecido usando uma conexão de rede privada virtual (VPN).

Isso fornece conectividade de camada de rede entre ambos os pontos usando endereços de rede para o local remoto onde o recurso (SQL Server) está localizado.

"Transmitir um serviço normalmente não fornecido por uma rede" refere-se a uma situação em que a rede entre você e a máquina de destino à qual você deseja se conectar está de alguma forma restrita e a conexão não pode ser estabelecida da maneira normal, mas você deseja se conectar mesmo assim.

Os exemplos podem incluir:

• você deseja se conectar a um computador dentro de uma rede corporativa, que opera em endereços IP privados (por exemplo, do intervalo 10.xxx) que normalmente não são acessíveis pela Internet;
• você deseja se conectar via IPv6 (por exemplo, porque a máquina de destino tem apenas endereço IPv6), mas a rede à qual você está conectado suporta apenas IPv4
• há um firewall restritivo entre você e a máquina de destino (pode estar no seu lado ou no lado do alvo) que permite a conexão apenas usando alguns protocolos/serviços (um caso comum é permitir apenas HTTP/HTTPS), e você deseja se conectar a um serviço diferente (por exemplo, SSH ou IMAP/SMTP).

Para estabelecer um túnel, você precisa ter duas máquinas em ambos os lados, capazes de se conectar usando qualquer serviço permitido pela rede. Por exemplo, se a rede permitir apenas HTTP/HTTPS, ambas as extremidades do túnel poderão se conectar via HTTPS e, então, enviar qualquer tipo de tráfego dentro da sessão HTTPS. A rede "externa" "vê" apenas o tráfego HTTPS, que pode passar, e, como é criptografada, não "sabe" o que está dentro. O software em ambas as extremidades do túnel "compacta" e "descompacta" o tráfego na sessão estabelecida.

Existem vários tipos de túneis, abaixo estão alguns exemplos:

• Túneis VPN (também conhecidos como túneis IP-em-IP) podem conectar duas redes diferentes (por exemplo, sua rede doméstica e a rede corporativa que você deseja acessar) como se estivessem conectadas diretamente. VPNs funcionam melhor se forem estabelecidas diretamente em roteadores (muitos roteadores suportam isso). Se sua rede doméstica for, por exemplo, 192.168.1.x e a rede corporativa for 10.10.xx, se você estabelecer uma VPN entre seu roteador e o roteador corporativo, poderá acessar computadores na rede corporativa 10.10.xx diretamente da sua rede doméstica, como se tivesse um cabo dedicado entre sua rede doméstica e a rede corporativa.
• Túneis IPv6-em-IPv4 são usados ​​para estabelecer conexões IPv6 em redes que suportam apenas IPv4. Novamente, isso é melhor feito em roteadores, mas um computador dedicado também pode ser usado para isso. Se um computador com endereço IPv6 apenas em sua rede quiser se conectar a um servidor em algum lugar na internet que também tenha um endereço IPv6, os pacotes são enviados para um dispositivo em sua rede que os "compacta" dentro de pacotes IPv4 e os envia (por IPv4) para um dispositivo em algum lugar do "outro lado" que tenha conectividade IPv6 com o servidor de destino. A resposta do servidor está sujeita ao mesmo processo, na direção inversa.
• Túneis SSH ou HTTPS: Se SSH ou HTTPS estiver disponível entre sua rede e a rede de destino, mas outros protocolos não, você pode estabelecer um túnel dentro de uma sessão SSH ou HTTPS e enviar outro tráfego por ele. Ao contrário dos túneis descritos acima, que, após o estabelecimento, podem transportar praticamente qualquer tráfego, com túneis SSH ou HTTPS, geralmente é necessário especificar exatamente o endereço de destino e a porta à qual se conectará.