Truyền Tunnel là cơng nghệ quan trọng duy nhất để xây dựng IP-VPN. Truyền Tunnel bao gồm đĩng bao (Encapsulation) một số gĩi số liệu vào các gĩi khác theo một tập quy tắc được áp dụng cho cả hai đầu cuối của Tunnel. Kết quả là nội dung
được đĩng bao trong Tunnel khơng thể nhìn thấy đối với mạng cơng cộng khơng an ninh nơi các gĩi được truyền. Các vấn đề cụ thể về cơng nghệ Tunnel được trình bày trong các phần sau.
Khái niệm truyền Tunnel được áp dụng cho nối mạng riêng ảo được trình bày trong hình 2.2 sau đây. Trên hình này, các gĩi được gửi đi từ máy trạm A đến máy trạm Z phải qua rất nhiều chuyển mạch và router. Nếu router C đĩng gĩi đến từ máy A và cổng Y mở bao gĩi, thì các nút khác mà gĩi này đi qua sẽ khơng nhận biết được gĩi
đĩng bao “bên ngồi” này và sẽ khơng thể biết được phần tải tin cũng nhưđịa chỉđiểm nhận cuối cùng của nĩ. Bằng cách này, tải tin của gĩi được gửi giữa C và Y sẽ chỉ được nhận biết bởi 2 nút mạng này và các máy A, Z là nơi khởi đầu và kết thúc cuối lưu lượng. Điều này tạo ra một Tunnel một cách hiệu quả để qua đĩ qua đĩ các gĩi
được truyền tải với mức an ninh mong muốn.
Hình 2.2: Truyền Tunnel trong nối mạng riêng ảo
Cĩ thểđịnh nghĩa Tunnel bởi các điểm cuối, các thực thể mạng nơi sử dụng các giao thức tháo bao và đĩng bao. Các kỹ thuật truyền Tunnel hỗ trợ IP-VPN như L2TP hay PPTP được sử dụng để đĩng bao các khung lớp liên kết (PPP). Tương tự các kỹ
thuật truyền Tunnel như IP trong IP và các giao thức IPSec được sử dụng để đĩng bao các gĩi lớp mạng.
Theo ngữ cảnh nối mạng riêng ảo, truyền Tunnel cĩ thể thực hiện ba nhiệm vụ
chính sau:
• Đĩng bao.
• Tính trong suốt đánh địa chỉ riêng.
• Bảo vệ tính tồn vẹn và bí mật số liệu đầu cuối đến đầu cuối.
Tính trong suốt đánh địa chỉ riêng cho phép sử dụng các địa chỉ riêng trên hạ
tầng IP nơi cho phép đánh địa chỉ cơng cộng. Vì các nội dung của gĩi được truyền Tunnel và các thơng số, như các địa chỉ, chỉ cĩ thể hiểu bên ngồi các điểm cuối Tunnel, đánh địa chỉ IP riêng hồn tồn che đậy khỏi mạng IP cơng cộng bằng cách sử
dụng các địa chỉ hợp lệ.
Hình 2.3: Che đậy địa chỉ IP riêng bằng truyền Tunnel
Các chức năng tồn vẹn và bảo mật đảm bảo rằng một kẻ khơng được phép khơng thể thay đổi các gĩi truyền Tunnel của người sử dụng và nhờ vậy nội dung của gĩi được bảo vệ chống việc truy nhập trái phép. Ngồi ra, tùy chọn truyền Tunnel cĩ thể bảo vệ sự tồn vẹn của tiêu đề gĩi IP bên ngồi, vì thế đảm bảo nhận thực nguồn gốc số liệu. Chẳng hạn, trong IP-VPN cĩ thể sử dụng tiêu đề IPSec AH để bảo vệ các
địa chỉ IP của các đầu cuối Tunnel khơng bị bắt chước. Tuy nhiên trong cơng nghệ số
liệu, trong nhiều trường hợp điều này khơng được coi là quan trọng và thực tế nhiều cổng IP-VPN thậm chí khơng áp dụng AH. Lí do vì nều gĩi truyền Tunnel của người sử dụng được bảo bệ ESP và gĩi này được mật mã hĩa bằng cách sử dụng phân phối khĩa an ninh và các kỹ thuật quản lý cũng như các giải thuật gần như là khơng thể bị
phá vỡ như 3DES, thì mọi ý đồ sử dụng sự thay đổi địa chỉ IP để chặn hoặc để gửi lưu lượng đều vơ nghĩa. Vì thế các điểm cuối cĩ ý đồ xấu khơng cĩ cách nào tham dự vào liên kết an ninh trên IPSec ESP và vì thế việc tách hú họa an ninh hiện thời sẽ khơng dễ dàng và mức độ khơng thể diễn dải số liệu đánh cắp là rất cao. Đây là điều mà các khách hàng IP-VPN quan tâm và cũng là lý do sử dụng hạn chế AH. Cần lưu ý rằng AH hữu ích khi cần cung cấp thơng tin điều khiển thiết lập Tunnel.