隧道协议

隧道协议（英語：Tunneling Protocol）^[1]是一種網路協議，在其中，使用一種網路協議（傳送協議），將另一個不同的網路協議，封裝在負載部份。使用隧道的原因是在不兼容的網路上传输数据，或在不安全網路上提供一個安全路徑。

隧道則是對比分層式的模型，如OSI模型或TCP/IP。隧道协议通常（但並非總是）在一個比負載協議還高的層級，或同一層。要了解協議堆疊，負載和傳送協議都須了解。傳統的分層式協議，如OSI模型或TCP/IP模型，HTTP协议，並不被認為是穿隧協議。隧道是在相隔甚远的客户端和服务器两者之间进行中转，并保持双方通信连接的应用程序。

通用路由封装是一種跑在 IP （IP 號碼為 47）的協議，身為網路層上的網路層的例子，通常是用帶有公開位址的 IP 封包來攜帶帶有 RFC 1918 私用位址的 IP 封包來穿越網際網路。在此例上，傳送和負載協議是相容的，但負載位址和傳送網路是不相容的。

穿隧協議可能使用数据加密來傳送不安全的負載協議。

常見穿隧協議

IPsec
一般路由封裝（GRE），支持多种网络层协议和多路技术
IP in IP^[2]，比GRE更小的负载头，并且适合只有负载一个IP流的情况。
L2TP（資料連結層穿隧協議）^[3]
MPLS （多协议标签交换）
GTP
PPTP（点对点隧道协议） ^[4]
PPPoE（基于以太网的点对点隧道）
PPPoA（基于ATM的点对点隧道）
IEEE 802.1Q （以太网VLANs）
DLSw（英语：DLSw）（SNA负载網際網路協議）
XOT（英语：XOT）（X.25数据片负载TCP）
IPv6 穿隧：6to4、6in4、Teredo
Anything In Anything（英语：Anything In Anything）（AYIYA，例如：IPv6 over UDP over IPv4, IPv4 over IPv6, IPv6 over TCP IPv4等）
TLS
SSH
SOCKS
HTTP CONNECT命令
各式的電路層級的代理伺服器協議，如Microsoft Proxy Server的Winsock Redirection Protocol或WinGate Winsock Redirection Service.

SSH

SSH隧道可以通過加密頻道將明文流量導入隧道中。為了建立SSH隧道， SSH客戶端要設定并轉交一個特定本地埠號到遠端機器上。一旦SSH隧道建立，使用者可以連到指定的本地埠號以存取網路服務。本地埠號不用與遠地埠號一樣。

SSH隧道提供一個繞過防火牆，從而連到某些被禁止的網際網路服務的的方法。例如，一個組織可能會禁止使用者不通過組織的代理伺服器過濾器，而直接存取網頁（埠號 80 ），用于監視或控視使用者瀏览網頁。使用者可能不希望讓他們的網頁流量被組織的代理伺服器過濾器所監控或阻擋。如果使用者能連到一個外部的 SSH 伺服器，就有可能建立 SSH 通道，將某個本地端埠號連到遠端網頁伺服器的埠號:80。要連到遠端網頁伺服器，使用者可以將他們的网页浏览器指到http://localhost/。

SSH支持動態埠傳送，允許使用者建立SOCKS代理伺服器。使用者可以設定他的應用程式去使用他們的區域SOCKS代理伺服器。這比建立一個連到單一埠號的SSH隧道更有彈性。使用SOCKS，使用者可以不被限制只能連到事先定義的埠號和伺服器。

作用

規避防火牆

一個被防火牆阻擋的協議可被包在另一個沒被防火牆阻擋的協議裡，如HTTP。如果防火牆並沒有排除此種包裝，這技巧可用來逃避防火牆政策。隧道可按要求建立起一条与其他服务器的通信线路，届时使用 SSL 等加密手段进行通信。

另一種基於 HTTP 的穿隧方法使用超文本傳輸協議的 CONNECT 方法：

客戶端送出 HTTP 的 CONNECT 命令給代理伺服器，代理伺服器會建一個 TCP 連線到特定的伺服器埠，並轉送伺服器埠和客戶端連線之間的資料。因為這會製造安全漏洞，HTTP 代理伺服器通常會限制 CONNECT 命令。通常只允許基於 TLS/SSL 的 HTTPS 服務。隧道本身不会去解析 HTTP 请求。也就是说，请求保持原样中转给之后的服务器。隧道本身是透明的，客户端不用在意隧道的存在。