tunnel

tunnelOSI或TCP / IP分層協議模型如那些通常對比。傳遞協議通常（但不總是）在更高層次的模型相比，有效載荷的協議，或在同一水平。

要了解一個特定的協議棧，網絡工程師必須瞭解的有效載荷和傳遞協議集。

通過網絡層的一個例子，通用路由封裝（GRE），在IP上運行的協議（IP協議號 47），往往是進行IP數據包，在使用公共互聯網傳遞數據包RFC 1918私有地址， IP地址。在這種情況下，交付和有效載荷協議是兼容的，但有效載荷與交付網絡的地址是不相容的。

相反，一個IP有效載荷可能相信它看到一個數據鏈路層傳遞，當它內部進行的第2層隧道協議（L2TP）“，這似乎作為協議的有效載荷數據鏈路層機制。L2TP協議，然而，實際運行過使用運輸層的用户數據 報協議（UDP），通過IP。供貨協議的IP地址，可以運行在任何數據鏈路協議IEEE 802.2與IEEE 802.3標準（即，基於標準的以太網）點的點對點協議（PPP）的撥號調制解調器連接。

tunnel協議可以使用數據加密傳輸過不安全的公共網絡（如Internet）的有效載荷協議，從而提供VPN功能。IPSec有一個終端到終端的運輸方式，但也可以在隧道模式下操作，通過一個值得信賴的安全網關。

tunnel繞過防火牆策略

用户還可以使用隧道通過“防火牆”偷渡，使用的協議，防火牆通常會阻止，但“包裝”內部防火牆不會阻止例如，HTTP協議。如果防火牆策略並沒有明確排除這一種“包裝”，這一招可以發揮預期的防火牆政策得到解決。

另一種基於HTTP隧道的方法，使用HTTP CONNECT方法/命令。客户端發出的HTTP連接HTTP代理的命令。代理，然後以一個特定的服務器的TCP連接埠，該服務器之間的中繼數據端口和客户端連接。因為這將創建一個安全漏洞，能夠連接HTTP代理通常限制CONNECT方法的訪問。代理只允許訪問的具體授權服務器白名單。

安全殼tunnel

安全shell（SSH）隧道由創建一個加密的隧道通過SSH協議連接。用户可以設置SSH隧道傳輸加密在網絡上的流量通過加密通道。例如，Microsoft Windows機器可以使用服務器消息塊（SMB）協議，非加密協議共享文件。如果一個人安裝一個Microsoft Windows文件系統，通過互聯網遠程連接上，有人窺探，可以看到傳輸的文件。要安裝Windows的文件系統安全，可以建立一個SSH隧道通過加密通道路由到遠程文件服務器的所有SMB流量。雖然SMB協議本身不包含任何加密，加密的SSH通道，通過它傳播提供安全。

建立一個SSH隧道，配置SSH客户端指定的本地端口轉發到遠程機器上的端口。一旦已建立SSH隧道，用户可以連接到指定的本地端口訪問網絡服務。本地端口不必有相同的端口號為遠程端口。

SSH隧道提供了一種方法來繞過防火牆，禁止某些互聯網服務-只要一個站點允許傳出連接。例如，組織可能會禁止用户直接訪問互聯網網頁（端口80），沒有通過組織的代理篩選器（提供組織監測和控制哪些用户通過網絡看到的一種手段）。但是，用户可能不希望有自己的網站流量監視或阻止由該組織的代理篩選器。如果用户可以連接到外部的SSH 服務器，他們可以自己本地機器上的一個特定的端口轉發到端口80遠程Web服務器上創建一個SSH隧道。訪問遠程Web服務器，用户將他們的瀏覽器指向到本地端口從http://localhost/。

一些SSH客户端支持動態端口轉發，允許用户創建一個SOCKS 4/5代理。在這種情況下，用户可以配置自己的應用程序來使用他們的本地SOCKS代理服務器。這給人以上如前所述到一個單一的端口建立一個SSH隧道的靈活性。SOCKS可以釋放用户只連接到一個預定義的遠程端口和服務器的限制。如果應用程序不支持SOCKS，可以使用“socksifier”重定向到本地SOCKS代理服務器的應用。一些“socksifiers”支持SSH直接，從而避免需要一個SSH客户端。

^[1-3]