Un túnel IP es un canal de comunicación de red de Protocolo de Internet (IP) entre dos redes. Se utiliza para transportar otro protocolo de red mediante la encapsulación de sus paquetes .
Los túneles IP se utilizan a menudo para conectar dos redes IP disjuntas que no tienen una ruta de enrutamiento nativa entre sí, a través de un protocolo enrutable subyacente a través de una red de transporte intermedia. Junto con el protocolo IPsec, se pueden utilizar para crear una red privada virtual entre dos o más redes privadas a través de una red pública como Internet . Otro uso destacado es conectar islas de instalaciones IPv6 a través de Internet IPv4 .
En la tunelización IP, cada paquete IP, incluida la información de direccionamiento de sus redes IP de origen y destino, se encapsula dentro de otro formato de paquete nativo de la red de tránsito.
En los límites entre la red de origen y la red de tránsito, así como entre la red de tránsito y la red de destino, se utilizan puertas de enlace que establecen los puntos finales del túnel IP a través de la red de tránsito. De este modo, los puntos finales del túnel IP se convierten en enrutadores IP nativos que establecen una ruta IP estándar entre las redes de origen y destino. Los paquetes que atraviesan estos puntos finales desde la red de tránsito se despojan de sus encabezados y finales de formato de trama de tránsito utilizados en el protocolo de tunelización y, por lo tanto, se convierten al formato IP nativo y se inyectan en la pila IP de los puntos finales del túnel. Además, se eliminan todas las demás encapsulaciones de protocolo utilizadas durante el tránsito, como IPsec o Transport Layer Security .
IP en IP , a veces llamado ipencap , es un ejemplo de encapsulación de IP dentro de IP y se describe en RFC 2003. Otras variantes de la variedad IP en IP son IPv6 en IPv4 ( 6in4 ) e IPv4 en IPv6 ( 4in6 ).
La tunelización IP suele eludir las reglas de cortafuegos simples de forma transparente, ya que la naturaleza y el direccionamiento específicos de los datagramas originales quedan ocultos. Por lo general, se requiere un software de control de contenido para bloquear los túneles IP.
La primera especificación de tunelización IP fue en RFC 1075, que describió DVMRP , el primer protocolo de enrutamiento de multidifusión IP. Debido a que la multidifusión usaba direcciones IPv4 especiales, probar DVMRP requería una forma de obtener datagramas IP a través de partes de Internet que aún no reconocían direcciones de multidifusión. Esto se resolvió con la tunelización IP. El primer enfoque de tunelización IP usó una opción de ruta y registro de origen suelto (LSRR) IP para ocultar la dirección de multidifusión de los enrutadores que no reconocen la multidifusión. Un enrutador de destino que reconoce la multidifusión eliminaría la opción LSRR del paquete y restauraría la dirección IP de multidifusión en el campo de destino IP del paquete. El otro enfoque en la especificación DVMRP fue IP en IP, como se describió anteriormente. IP en IP pronto se convirtió en el enfoque preferido y luego se puso en uso en Mbone .