隧道協議

隧道協議（英語：Tunneling Protocol）^[1]是一種網路協議，在其中，使用一種網路協議（傳送協議），將另一個不同的網路協議，封裝在負載部份。使用隧道的原因是在不兼容的網路上傳輸數據，或在不安全網路上提供一個安全路徑。

隧道則是對比分層式的模型，如OSI模型或TCP/IP。隧道協議通常（但並非總是）在一個比負載協議還高的層級，或同一層。要了解協議堆疊，負載和傳送協議都須了解。傳統的分層式協議，如OSI模型或TCP/IP模型，HTTP協議，並不被認為是穿隧協議。隧道是在相隔甚遠的客戶端和服務器兩者之間進行中轉，並保持雙方通信連接的應用程序。

通用路由封裝是一種跑在 IP （IP 號碼為 47）的協議，身為網路層上的網路層的例子，通常是用帶有公開位址的 IP 封包來攜帶帶有 RFC 1918 私用位址的 IP 封包來穿越網際網路。在此例上，傳送和負載協議是相容的，但負載位址和傳送網路是不相容的。

穿隧協議可能使用數據加密來傳送不安全的負載協議。

常見穿隧協議

IPsec
一般路由封裝（GRE），支持多種網絡層協議和多路技術
IP in IP^[2]，比GRE更小的負載頭，並且適合只有負載一個IP流的情況。
L2TP（資料連結層穿隧協議）^[3]
MPLS （多協議標籤交換）
GTP
PPTP（點對點隧道協議） ^[4]
PPPoE（基於以太網的點對點隧道）
PPPoA（基於ATM的點對點隧道）
IEEE 802.1Q （以太網VLANs）
DLSw（英語：DLSw）（SNA負載網際網路協議）
XOT（英語：XOT）（X.25數據片負載TCP）
IPv6 穿隧：6to4、6in4、Teredo
Anything In Anything（英語：Anything In Anything）（AYIYA，例如：IPv6 over UDP over IPv4, IPv4 over IPv6, IPv6 over TCP IPv4等）
TLS
SSH
SOCKS
HTTP CONNECT命令
各式的電路層級的代理伺服器協議，如Microsoft Proxy Server的Winsock Redirection Protocol或WinGate Winsock Redirection Service.

SSH

SSH隧道可以通過加密頻道將明文流量導入隧道中。為了建立SSH隧道， SSH客戶端要設定並轉交一個特定本地埠號到遠端機器上。一旦SSH隧道建立，使用者可以連到指定的本地埠號以存取網路服務。本地埠號不用與遠地埠號一樣。

SSH隧道提供一個繞過防火牆，從而連到某些被禁止的網際網路服務的的方法。例如，一個組織可能會禁止使用者不通過組織的代理伺服器過濾器，而直接存取網頁（埠號 80 ），用於監視或控視使用者瀏覽網頁。使用者可能不希望讓他們的網頁流量被組織的代理伺服器過濾器所監控或阻擋。如果使用者能連到一個外部的 SSH 伺服器，就有可能建立 SSH 通道，將某個本地端埠號連到遠端網頁伺服器的埠號:80。要連到遠端網頁伺服器，使用者可以將他們的網頁瀏覽器指到http://localhost/。

SSH支持動態埠傳送，允許使用者建立SOCKS代理伺服器。使用者可以設定他的應用程式去使用他們的區域SOCKS代理伺服器。這比建立一個連到單一埠號的SSH隧道更有彈性。使用SOCKS，使用者可以不被限制只能連到事先定義的埠號和伺服器。

作用

規避防火牆

一個被防火牆阻擋的協議可被包在另一個沒被防火牆阻擋的協議裡，如HTTP。如果防火牆並沒有排除此種包裝，這技巧可用來逃避防火牆政策。隧道可按要求建立起一條與其他服務器的通信線路，屆時使用 SSL 等加密手段進行通信。

另一種基於 HTTP 的穿隧方法使用超文本傳輸協議的 CONNECT 方法：

客戶端送出 HTTP 的 CONNECT 命令給代理伺服器，代理伺服器會建一個 TCP 連線到特定的伺服器埠，並轉送伺服器埠和客戶端連線之間的資料。因為這會製造安全漏洞，HTTP 代理伺服器通常會限制 CONNECT 命令。通常只允許基於 TLS/SSL 的 HTTPS 服務。隧道本身不會去解析 HTTP 請求。也就是說，請求保持原樣中轉給之後的服務器。隧道本身是透明的，客戶端不用在意隧道的存在。