Az alagút (az angol tunneling szóból - „tunneling”) a számítógépes hálózatokban egy olyan folyamat, amelynek során különböző protokollok beágyazásával logikai kapcsolat jön létre két végpont között . Az alagútkezelés olyan hálózati technika, amelyben az egyik hálózati protokoll egy másikba van beépítve . Az alagútépítés abban különbözik a hagyományos réteges hálózati modellektől (például OSI vagy TCP/IP ), hogy a beágyazott protokoll ugyanazon vagy alacsonyabb szinten van, mint az alagútként használt.
Az alagút lényege, hogy az átvitt adatrészt a szolgáltatási mezőkkel együtt a hordozó protokollcsomag hasznos terhelési területére "pakoljuk". Az alagút a hálózati és az alkalmazási rétegeken alkalmazható. Az alagút és a titkosítás kombinációja lehetővé teszi a zárt virtuális magánhálózatok (VPN) megvalósítását. Az alagút általában a szállítási protokollok egyeztetésére vagy a hálózati csomópontok közötti biztonságos kapcsolat létrehozására szolgál .
A következő típusú protokollok vesznek részt a tokozási (alagút) folyamatban:
A tranzithálózati protokoll a hordozó , a konvergens hálózati protokoll pedig a szállítás . A szállítási protokoll csomagok a hordozó protokoll csomagok adatmezőjébe kerülnek beágyazási protokoll segítségével. A tranzithálózaton keresztül történő szállítás során a csomagokat – „utasokat” semmilyen módon nem dolgozzák fel. A tokozást egy szélső eszköz (útválasztó vagy átjáró) végzi, amely a forrás- és a tranzithálózatok határán található. A szállítási protokoll csomagok kivonását a vivőcsomagokból a tranzithálózat és a célhálózat határán elhelyezkedő második szélső eszköz végzi. Az Edge eszközök a címüket jelzik a hordozócsomagokban, nem pedig a célhálózat csomópontjainak címét.
Alagutat akkor lehet használni, ha két azonos szállítási technológiájú hálózatot egy másik szállítási technológiát használó hálózaton keresztül kell összekapcsolni. Ugyanakkor az egyesítendő hálózatokat a tranzittal összekötő border routerek az egyesített hálózatok szállítási protokolljának csomagjait a tranzithálózat szállítási protokolljának csomagjaiba csomagolják. A második határútválasztó a fordított műveletet hajtja végre.
Az alagút általában egyszerűbb és gyorsabb megoldásokhoz vezet, mint a műsorszórás, mivel egy konkrétabb problémát old meg anélkül, hogy interakciót biztosítana a tranzithálózat csomópontjaival.
Az alagút fő elemei a következők:
Az alagút kezdeményezője a csomagokat egy új csomagba ágyazza (bekapszulázza), amely az eredeti adatokkal együtt egy új fejlécet tartalmaz a feladóról és a címzettről szóló információkkal. Bár az alagúton keresztül továbbított összes csomag IP-csomag, a beágyazott csomagok bármilyen típusú protokollt tartalmazhatnak, beleértve a nem irányítható protokollcsomagokat is. Az alagútkezdeményező és az alagútvégző közötti útvonal egy szabályos, irányítható IP -hálózatot határoz meg, amely lehet az internettől eltérő hálózat is . Az alagútlezáró egy folyamatot hajt végre, amely a tokozás fordítottja – eltávolítja az új fejléceket, és minden eredeti csomagot továbbít a helyi protokollveremnek vagy a helyi hálózat célállomásának. A beágyazás önmagában nincs hatással a VPN alagúton keresztül küldött üzenetcsomagok biztonságára . De a tokozás lehetővé teszi a tokozott csomagok teljes kriptográfiai védelmét. A tokozott csomagok titkosságát kriptográfiai lezárásuk, azaz titkosításuk, az integritás és hitelesség – digitális aláírás generálásával – biztosítja . Mivel számos módszer létezik az adatok kriptográfiai védelmére, szükséges, hogy az alagút kezdeményezője és lezárója ugyanazokat a módszereket használja, és ezekben az információkban meg tudjon állapodni egymással. Sőt, az adatok visszafejtése és a digitális aláírás átvételkor történő ellenőrzése érdekében az alagút kezdeményezőjének és lezárójának támogatnia kell a biztonságos kulcscsere funkciókat. Annak biztosítása érdekében, hogy VPN-alagutak csak a jogosult felhasználók között jöjjenek létre, az interakció végső feleit hitelesíteni kell.