Figure 1: Koppelung von zwei LANs durch einen Tunnel
Tranzparenz bedeutet hierbei, daß die kommunizierenden Stationen in den verbundenen LANs nicht mit der Verwaltung und dem Aufbau des Tunnels betraut sind. Diese Aufgabe wird in jedem LAN von einem extra Tunnel-Server übernommen. Die Stationen in den LANs arbeiten so, als ob sie alle an einem einzigen LAN angeschlossen wären.
IP-Tunneling über das Internet beruht darauf, daß dem zu transportierenden Paket ein neuer IP-Kopf vorangestellt wird (IP in IP, RFC 2004 [Inte99]). Dieser Kopf wird in einem Server des LANs oder des ISPs erzeugt, der den Ausgangspunkt des Tunnels bildet. Der Kopf enthält als Quelladresse die Adresse dieses Rechners und als Zieladresse einen Server, der den Endpunkt des Tunnels bildet und das transportierte Paket wieder entpackt, also den Tunnel-Kopf entfernt. Dieses Paket wird dann wie gewohnt im Ziel-LAN seinem Empfänger zugestellt.
Der Tunnel verhält sich also wie eine bidirektionale Direktverbindung zwischen den beiden Tunnel-Servern.
Das Tunneling-Verfahren ist in Schicht 3 des ISO/OSI-Basisreferenzmodells angesiedelt. Dadurch stellt es selber keine Zugriffskontrollmechanismen zur Verfügung. Es bildet aber die Grundlage für einige Schicht-2-Protokolle, die diese Mechanismen implementieren (siehe Abschnitt 2.2).
Ein erster Standard für das Tunneling ist Generic Routing Encapsulation (GRE), RFC 1701 und RFC 1702 [Inte99]. Dabei handelt es sich um eine Richtlinie, wie die Tunnel-Pakete aufgebaut sein sollen.
Figure 2: Aufbau eines GRE-Paketes zum Transport von IP-Paketen
In einem GRE-Paket werden drei Abschnitte unterschieden: ein Tunnel-Kopf, der das Tunnelziel enthält, ein GRE-Kopf, der Informationen über das verwendete Tunnel-Protokoll und Verschlüsselungsalgorithmen enthält, und die Nutzlast (Payload), also das zu transportierende LAN-Paket. Abbildung 2 zeigt den Aufbau eines solchen GRE-Paketes. Als Beispiel ist hier die Kapselung eines IP-Paketes gewählt. Mit GRE-Paketen lassen sich aber auch beliebige andere Netzwerkprotokolle tunneln.