隧道协议

• IPsec
• 一般路由封装（GRE），支持多种网络层协议和多路技术
• IP in IP^[2]，比GRE更小的负载头，并且适合只有负载一个IP流的情况。
• L2TP（资料链接层隧道协议）^[3]
• MPLS （多协议标签交换）
• GTP
• PPTP（点对点隧道协议） ^[4]
• PPPoE（基于以太网的点对点隧道）
• PPPoA（基于ATM的点对点隧道）
• IEEE 802.1Q （以太网VLANs）
• DLSw（英语：DLSw）（SNA负载互联网协议）
• XOT（英语：XOT）（X.25数据片负载TCP）
• IPv6 穿隧：6to4、6in4、Teredo
• Anything In Anything（英语：Anything In Anything） （AYIYA，例如：IPv6 over UDP over IPv4, IPv4 over IPv6, IPv6 over TCP IPv4等）
• TLS
• SSH
• SOCKS
• HTTP CONNECT命令
• 各式的电路层级的代理服务器协议，如Microsoft Proxy Server的Winsock Redirection Protocol或WinGate Winsock Redirection Service.

SSH隧道可以通过加密频道将明文流量导入隧道中。为了建立SSH隧道， SSH客户端要设置并转交一个特定本地端口号到远程机器上。一旦SSH隧道建立，用户可以连到指定的本地端口号以访问网络服务。本地端口号不用与远地端口号一样。

SSH隧道提供一个绕过防火墙，从而连到某些被禁止的互联网服务的的方法。例如，一个组织可能会禁止用户不通过组织的代理服务器过滤器，而直接访问网页（端口号 80 ），用于监视或控视用户浏览网页。用户可能不希望让他们的网页流量被组织的代理服务器过滤器所监控或阻挡。如果用户能连到一个外部的 SSH 服务器，就有可能建立 SSH 通道，将某个本地端端口号连到远程网页服务器的端口号:80。要连到远程网页服务器，用户可以将他们的网页浏览器指到http://localhost/。

SSH支持动态端口发送，允许用户建立SOCKS代理服务器。用户可以设置他的应用程序去使用他们的区域SOCKS代理服务器。这比建立一个连到单一端口号的SSH隧道更有弹性。使用SOCKS，用户可以不被限制只能连到事先定义的端口号和服务器。

一个被防火墙阻挡的协议可被包在另一个没被防火墙阻挡的协议里，如HTTP。如果防火墙并没有排除此种包装，这技巧可用来逃避防火墙政策。隧道可按要求建立起一条与其他服务器的通信线路，届时使用 SSL 等加密手段进行通信。

另一种基于 HTTP 的穿隧方法使用超文本传输协议的 CONNECT 方法：

客户端提交 HTTP 的 CONNECT 命令给代理服务器，代理服务器会建一个 TCP 连线到特定的 服务器端口，并转送服务器端口和客户端连线之间的资料。因为这会制造安全漏洞，HTTP 代理服务器通常会限制 CONNECT 命令。通常只允许基于 TLS/SSL 的 HTTPS 服务。隧道本身不会去解析 HTTP 请求。也就是说，请求保持原样中转给之后的服务器。隧道本身是透明的，客户端不用在意隧道的存在。

将明文网络流量加密以在互联网上安全地传输。

• 虚拟专用网

• （英文）以示例解释 SSH 隧道
• （英文）设置 Windows SSH 穿隧用于 VNC （页面存档备份，存于互联网档案馆）
• （英文）详细解释 SSH 转送和穿隧
• (简体中文) SSH隧道技术应用. （原始内容存档于2010-04-07）. 

本条目部分或全部内容出自以GFDL授权发布的《自由在线电脑词典》（FOLDOC）。