Ipmaddr, iptunnel

A Unix/Linux szerverek üzemeltetése wikiből
(Változatok közti eltérés)
(Rtacct)
a (Írta: Nitsch József, 2010. január.)
 
(2 szerkesztő 36 közbeeső változata nincs mutatva)
1. sor: 1. sor:
'''Ritkábban használt linuxos hálózati segédprogramok működése és felhasználási lehetőségei: ippool, ipmaddr, iptunnel, rtacct, rtmon, ss'''
+
Írta: Nitsch József, 2010. január.
   
  +
== ipmaddr ==
   
== '''Ippool''' ==
+
Az [http://www.linuxfoundation.org/collaborate/workgroups/networking/net-tools net-tools] programcsomag része. De használható ip maddr –ként is, ez esetben az iproute2 programcsomag ip programjának egy változata. Segítségével multicast címeket illeszthetünk a hálózati eszközünkre.
   
Az ippool program az IP Filter csomag része. Egy olyan segédprogram, amely az IPF ”ip pool” alrendszerének kezelésére szolgál. Segítségével ezeket az ’ip csoportokat’ (ip pool) kezelhetjük egyszerűen.
+
Az IP csomag a számítógéphez tartozó hálózati eszközök konfigurálására szolgál. Segítségével elindíthatjuk, leállíthatjuk hálózati eszközeinket, beállíthatjuk azokat. Routing-al kapcsolatos konfigurálást is végezhetünk segítségével.
 
IP Filter-t valószínűleg nem nagyon kell bemutatni senkinek. Egy olyan program csomag, amely tűzfal valamint NAT szolgáltatásokat nyújt. Segítségével tetszőleges tűzfalat építhetünk rendszerünk védelmére, valamint NAT szabályokat fogalmazhatunk meg.
 
 
Egy ’ip pool’ egy csoportba fogott IP címek együttese. Több IP cím lefedésével készíthetünk ilyen, úgynevezett IP pool-okat. Ezeknek nevet adhatunk. Később ezeket a neveket felhasználhatjuk a tűzfal vagy NAT (Netwotk Address Translation) szabályok írásánál.
 
Létező IP pool-okhoz tetszőlegesen adhatunk hozzá újabb IP címeket, vagy ki is vehetjük őket a csoportból.
 
Előfordulhat hogy anélkül alkalmazunk IP poolíokat, hogy tudnánk róla. Ugyanis ha valamilyen tűzfal vagy NAT szabályt nem egyetlen címre, hanem egy IP cím tömbre alkalmazunk, akkor az már egy úgynevezett ’IP pool’. Ilyenkor persze nem használjuk ki az ippool eszköz számos előnyét.
 
 
 
 
'''Alkalmazási példák:'''
 
 
1. Mivel IP pool-ainkat elnevezhetjük, és ezekhez a nevesített csoportokhoz új elemeket
 
adhatunk illetve vehetünk el, ezért segítségével adott IP címet egyszerűen távolíthatunk
 
mondjuk egy NAT csoportból. Vagy persze hozzá is adhatjuk.
 
A nevesített IP pool-ok használatával szabályrendszereinket könnyen tudjuk új elemekre
 
alkalmazni. Az új IP címet csak hozzá kell adni ahhoz a csoporthoz amelyre a megfelelő
 
szabályok már be vannak állítva.
 
   
2. NAT alkalmazásakor előfordul, hogy a belső hálózatunk túlnőtt azon, hogy egyetlen külső
+
Az ’ipmaddr’ parancs multicast címek kezelésére szolgál. Az ’ip addr’ paranccsal analóg, csak míg az egyedi ip-címet rendel a hálózati eszközhöz, addig az ipmaddr multicast címet rendel az adott eszközhöz. A multicast címek olyan ip-címek, amelyek nem egy konkrét géphez tartoznak, hanem egy csoportot jelentenek. Egy ilyen csoportba több gép lehet, és az adott multicast címre küldött adatokat minden olyan host megkapja, aki regisztrálva van az adott csoportba. Bővebben a [http://en.wikipedia.org/wiki/IP_multicast multicast-ról].
IP cím elég legyen hozzá. Ez esetben egyetlen IP cím helyett egy több IP-ből álló
 
artományt használhatunk a helyi hálózat igényeink kielégítésére.
 
   
 
'''Használat:'''
 
 
A programot az ’ippool’ paranccsal használhatjuk.
 
 
A főbb funkciói:
 
 
- csoport létrehozása/ törlése,
 
 
- elem hozzáadása/törlése a csoporthoz/csoportból,
 
 
- konfigurációs file feldolgozása,
 
 
- statisztika kiírása.
 
 
 
'''Példák:'''
 
# ippool –l
 
A betöltött ip pool-okat listázhatjuk
 
# ippool –A –m VALAMI –o ipf –t pool
 
Ezzel egy új ip pool-t hozunk létre a kernelben, VALAMI névvel (’-m VALAMI’), -o kapcsolóval azt állítjuk be, hogy milyen szabályban kívánjuk alkalmazni. A –t pedig a létrehozott pool típusát határozza meg, jelen esetben ez egy ip pool lesz.
 
# ippool –a –m VALAMI –o ipf –i 192.168.100.200
 
Az előbb létrehozott csoporthoz hozzáadjuk a 192.168.100.200-as IP című hosztot.
 
# ippool –r –m VALAMI –i 192.168.100.200
 
A 192.168.100.200-as IP című hoszt eltávolítása a VALAMI nevű poolíból.
 
# ippool –R –m VALAMI
 
A VALAMI nevű ip pool eltávolítása.
 
 
 
== Ipmaddr ==
 
 
IP program csomag része. IP MADDR –ként is használható. Segítségével multicast címeket illeszthetünk a hálózati eszközünkre.
 
 
Az IP csomag a számítógéphez tartozó hálózati eszközök konfigurálására szolgál. Segítségével elindíthatjuk, leállíthatjuk hálózati eszközeinket, beállíthatjuk azokat. Routing-al kapcsolatos konfigurálást is végezhetünk segítségével.
 
 
Az ’ipmaddr’ parancs az ip parancs egy változata. Multicast címek kezelésére szolgál. Az ’ip addr’ paranccsal analóg, csak míg az egyedi ip címet rendel a hálózati eszközhöz, addig az maddr nem egy, hanem több címet rendel az adott eszközhöz.
 
Ilyen esetben a hálózati eszköz több ip címre küldött csomagokat is fogadott és feldolgozott.
 
   
 
'''Használat:'''
 
'''Használat:'''
58. sor: 22. sor:
   
 
'''Példák:'''
 
'''Példák:'''
# ipmaddr add 123.12.34.12/30 dev eth0
+
# ipmaddr add 224.1.1.2 dev eth0
Az eth0 eszközhöz a 123.12.34.12/255.255.255.252 tartomány csatolása.
+
Az eth0 eszközt regisztrálja a 224.1.1.2 multicast tartományhoz.
 
# ipmaddr show
 
# ipmaddr show
 
Multicast címek listázása.
 
Multicast címek listázása.
# ipmaddr del 123.12.34.12/30 dev eth0
+
# ipmaddr del 224.1.1.2 dev eth0
A 123.12.34.12/255.255.255.252 tartomány leválasztása az eth0 eszközről
+
A 224.1.1.2 multicast címről leválasztja az eth0 eszközt.
   
 
'''Alkalmazás:'''
 
'''Alkalmazás:'''
   
A fő alkalmazási lehetőségei közé tartoznak különböző hálózat figyelő alkalmazások. Ilyenkor egy adott alhálózatra érkező összes csomagot megkapunk.
+
alkalmazási területei közé az úgynevezett datastreaming alkalmazások tartoznak, pl. audio- vagy video- konferencia. Ilyenkor, ha multicast szolgáltatás elérhető, nem kell minden, a konferenciában résztvevő hostnak külön elküldeni az adatot. Helyette a multicast címet használva egy példányban küldjük el a csomagokat, amiket mindenki megkap. Ezzel jelentős sávszélességet takaríthatunk meg, mivel a csomagok egy példányban mennek ameddig csak lehet, és csak akkor duplikálódnak, ha már más útvonalon kell továbbhaladniuk.
Használhatjuk úgynevezett data streaming alkalmazásoknál is. Ilyenkor a kiszolgálóhoz egy multicast címet rendelünk, amelyeket a kliensek használhatnak. És a server-nek nem kell figyelnie a kapcsolódó klienseket, amennyiben a multicast címek valamelyikét használják. Ezzel akár sávszélességet is takaríthatunk meg.
 
   
  +
== iptunnel ==
   
== Iptunnel ==
+
Szintén a [http://www.linuxfoundation.org/collaborate/workgroups/networking/net-tools net-tools] programcsomag része. De ez is működik ’ip tunnel’-ként is, ami szintén az iproute2 programcsomag ip parancsa. Segítségével ip ’alagutakat’ (ip tunnel) hozhatunk létre. Ezeknek nevet is adhatunk a későbbi hivatkozáshoz.
   
Szintén az IP csomag része. ’IP TUNNEL’-ként is hivatkozhatunk . Segítségével ip ’csatornákat’ (ip tunnel) hozhatunk létre. Ezeknek nevet is adhatunk a későbbi hivatkozáshoz.
+
Az IP alagút (tunnel) olyan összeköttetés, amelyen más IP szolgáltatások teljes csomagjai küldhetők át érintetlenül. Úgy kell elképzelni, hogy az ip alagút egyik végére elküldött csomag (az ip fejléc, és az ip-payload) egy másik ip csomag payload-jába kerül bele. Ezt kiegészíti az ip tunnel fejléc, és az így keletkezett csomag kerül továbbküldésre az ip alagúton. Az alagút másik végén a fogadó gép megkapja a csomagot, értelmezi és eltávolítja az ip tunnel fejlécet, majd a payload-ban lévő ip csomagot (ip fejléc, és payload) a saját alhálózatán továbbküldi. Ezzel elérhetjük hogy két, egymástól távol lévő alhálózatunk között olyan összeköttetés legyen mintha egy alhálózat lenne az egész. IPSec-el kombinálva akár VPN-t (Virtual Private Network) is létrehozhatunk.
+
([http://en.wikipedia.org/wiki/IP_tunnel IPtunnel-ről] bővebben)
Az IP csatorna (tunnel) olyan összeköttetés, amelyen más IP szolgáltatások teljes csomagjai küldhetők át, érintetlenül. Tulajdonképpen egy átjárót jelent a csatorna két végpontja között.
 
Segítségével összeköthetünk két, egymással egyébként direkt kapcsolatban nem lévő hálózatot. IPSec-el kombinálva akár VPN-t (Virtual Private Network) is létre hozhatunk.
 
(IP tunnel-ről bővebben : [http://en.wikipedia.org/wiki/IP_tunnel])
 
   
 
'''Használat:'''
 
'''Használat:'''
89. sor: 54. sor:
   
 
'''Példák:'''
 
'''Példák:'''
# iptunnel create -I ipt5 169.14.168.86 \
+
# iptunnel add ipt5 mode ipip remote 169.14.168.86 local 91.137.146.129
Ip csatornát hoz létre a 169.14.168.86-os hoszthoz localhost-ból, ipt5 néven.
+
Ip alagutat hoz létre a 169.14.168.86-os host-hoz localhost-ból, ipt5 néven. A mode kapcsoló az alagút típusát állítja be (lehet: ipip, sit, gre). Az ipip a legegyszerűbb változat, ez ipv4-es csomagok továbbítására jó, de ez okozza a legkisebb overhead-et.
# iptunnel delete ipt5
+
Létrejön egy ipt5 nevű hálózati interfész, amelyre hivatkozhatunk más eszközökben, pl ifconfig-ban.
  +
# iptunnel del ipt5
 
Az ipt5 csatorna törlése.
 
Az ipt5 csatorna törlése.
 
# iptunnel show ipt5
 
# iptunnel show ipt5
interface ipt5 src 169.14.160.91 dst 169.14.168.86 gate 169.14.160.91
+
ipt5: ipv4/ip remote 169.14.168.86 local 91.137.146.129
Ipt5 ip csatorna informásióit írja ki
+
Kiírja az ipt5 ip alagút adatait. A sor elején az ip alagút neve van. Utána, kettősponttal elválasztva a csatorna típusa, itt az ipv4/ip az ipip-re utal. A local és a remote a csatorna két végpontjának a ip-címe.
 
 
'''Alkalmazási:'''
 
 
1. IP tunnel segítségével VPN-t hozhatunk létre hálózataink között. Ehhez a két hálózaton ki kell jelölni két gépet amelyek között IP tunnel-t hozunk létre. Az egyik hálózatból a másikba irányuló csomagokat az átjáróként kinevezett géphez kell irányítani. Ha az ip csatornát pl IPSec mechanizmussal kiegészítjük, akkor egy biztonságos csatornát hozhatunk létre, amely kívülállók számára nem lehallgatható, annak ellenére hogy a publikus interneten mennek át a csomagok.
 
 
2. IP tunnel segítségével teljesítmény elosztó server-t is készíthetünk. Ehhez az kell hogy a teljesítmény elosztó server-től egy-egy ip tunnel-t hozunk létre a valódi kiszolgálókig, és az érkező kéréseket elosztjuk köztük. Az elosztó server-re érkező kérések az ip tunnel-en haladnak a valódi server-ig, így az úgy érzékeli mintha közvetlenül a klienstől jött volna, és neki is fog válaszolni.
 
Forrás: [http://www.linuxvirtualserver.org/VS-IPTunneling.html]
 
 
 
== Rtacct ==
 
 
Egyszerű hálózati statisztikai program. A kernel vagy router csomagszámlálóit listázza ki. Előnye abban rejlik, hogy ezt a listázást az egyes szabályok vagy szabály csoportok (’route realm’) alapján tudja elvégezni.
 
 
A hálózati csomagszámlálók nagyon elszaporodhatnak a router-hez kapcsolódó gépek számának növekedésével. Főleg akkor, ha minden egyes forrás és cél pár esetén külön jelenítjük meg a számlálókat. Ilyen nagyszámú kapcsolat esetén nagy előny lehet ha a listázás ilyen route realm-ek alapján történik. Ezek tulajdonképpen a routing szabályok nevei, ezeket a neveket mi adhatjuk a szabályoknak, és egy névhez több szabály is tartozhat.
 
 
Így tehát úgy tudjuk listázni a csomagszámlálókat, hogy a számukra lényeges információkat lássuk. Az egyes domain-ekhez, vagy hálózatokhoz, vagy felhasználói csoportokhoz tartozó forgalmat tudjuk kiíratni összegezve.
 
 
'''Példa:'''
 
# rtacct
 
Realm BytesTo PktsTo BytesFrom PktsFrom
 
secure 5949K 57188 15839K 61776
 
outgoing 15839K 61776 5949K 57188
 
 
== Rtmon ==
 
 
Hálózat monitorozó eszköz. Hasonló, mint az ip monitor parancs. Segítségével minden hálózattal kapcsolatos eseményt figyelhetünk.
 
A program képes figyelni és naplózni a hálózat eseményeit cím, eszköz, vagy route alapján. Ezen felül a route tábla változásait is képes figyelni és naplózni. Ezeket az eseményeket egy napló file-ban tárolja, amely később kiolvasható.
 
 
Parancs formátum: rtmon [ options ] file FILE [ all | LISTofOBJECTS ]
 
Ahol a file argumentummal adhatjuk meg a naplófájl nevét. Az utána lévő argumentummal pedig a naplózandó objektumok listáját. Ez az objektum lehet link, address, vagy route. Az option argumentummal pedig azt állíthatjuk be, hogy milyen ip családba tartozó eseményeket naplózzon.
 
 
Használat:
 
# rtmon file /var/log/rtmon.log
 
Segítségével minden eseményt naplózunk a megadott file-ba.
 
 
 
== Rtmond ==
 
 
Egy másik rtmon nevű eszköz. Amely egy rtmond nevű rendszermonitorozó deamon és egy rtmon-client nevű naplózó alkalmazásból áll.
 
 
Az eszköz képes hálózaton keresztül továbbítani a gyűjtött adatokat. A figyelni kívánt gépen el kell indítani az rtmond nevű alkalmazást, amely monitorozza az adott rendszer eseményeit, felhasználói eseményeit, processor információkat. Ezeket az adatokat a kapcsolódó klienseknek továbbítja, amik naplózzák az eseményeket.
 
 
Mind a naplózó mind a monitorozó alkalmazás oldalán beállíthatjuk a figyelendő eseményeket.
 
 
Használat:
 
Monitorozott gép (1.2.3.4):
 
# rtmond
 
Naplózó gép:
 
# rtmon-client –f naplo.file–host 1.2.3.4
 
Az 1.2.3.4. című host-on futó rtmond által gyűjtött információt a naplo.file-ba írja.
 
 
== Ss ==
 
 
Hálózati statisztikai program. A netstat-hoz hasonló, csak gyorsabb és jobb. Röviden a netstat funkcionalitása kiegészítve szűrési funkciókkal. A socketek-t figyeli és azok statisztikáit listázza.
 
 
Kiíratható vele mindenféle információ a hálózati kapcsolatokról. Számtalan konfigurációs lehetősége lévén könnyen beállíthatjuk, hogy milyen típusú információkat akarunk listázni.
 
 
Szűrési lehetőségek: (részletes leírás: [http://www.cyberciti.biz/files/ss.html])
 
 
- Típus alapján: TCP (-t), UDP (-u), Raw (-r), Unix socket (-x)
 
 
- Port alapján
 
 
- Cím alapján
 
 
- Állapot alapján (connected, synchronized, all, …)
 
 
- Lehet szűrni ismert szolgáltatások típusokra
 
 
- X-server kapcsolataira
 
   
Példák:
+
'''Alkalmazásai:'''
# ss –s
 
Total: 734 (kernel 904)
 
TCP: 1415 (estab 112, closed 1259, orphaned 11, synrecv 0, timewait 1258/0), ports 566
 
Transport Total IP IPv6
 
* 904 - -
 
RAW 0 0 0
 
UDP 15 12 3
 
TCP 156 134 22
 
INET 171 146 25
 
FRAG 0 0 0
 
Minden kapcsolati adat listázása
 
   
# ss -t –a
+
1. IP alagút segítségével VPN-t hozhatunk létre hálózataink között. Ehhez a két hálózaton (1 és 2) ki kell jelölni két gépet (A és B), amelyek között IP alagutat hozunk létre. A két hálózat ezen az alagúton keresztül lesz összekapcsolva. Az 1-s hálózatból a 2-be irányuló csomagokat az alagút 1-s hálózatbeli végpontjához, azaz A-hoz kell irányítani. A a csomagot az alagúton keresztül elküldi B-nek. B kicsomagolja az alagúton átküldött csomagot, és a payload-ban lévő IP csomagot továbbküldi a 2-s hálózaton. A 2-s hálózaton a csomag az eredeti IP fejlécben lévő címzetthez kerül.
Minden TCP socket információ
+
Ha az ip alagutat pl IPSec mechanizmussal kiegészítjük, akkor egy biztonságos alagutat hozhatunk létre, amely kívülállók számára nem lehallgatható, annak ellenére hogy a publikus interneten mennek át a csomagok.
   
# ss -u –a
+
2. IP tunnel segítségével loadbalancer-t is készíthetünk. Ehhez az kell hogy a loadbalancer-től egy-egy ip alagutat hozunk létre a valódi kiszolgálókig, és az érkező kéréseket elosztjuk köztük. A loadbalancer-re érkező kérések az ip alagúton haladnak a valódi server-ig, így az úgy érzékeli mintha közvetlenül a klienstől jött volna, és neki is fog válaszolni.
Minden UDP socket információ
+
[http://www.linuxvirtualserver.org/VS-IPTunneling.html Forrás]
# ss -w –a
 
Minden RAW csomag információ
 
# ss -x –a
 
Minden Unix socket információ
 
# ss -o state established '( dport = :smtp or sport = :smtp )'
 
Minden felépitett smtp kapcsolat
 
# ss -x src /tmp/.X11-unix/*
 
Minden X server-hez csatlakozott folyamat.
 

A lap jelenlegi, 2010. január 26., 13:19-kori változata

Írta: Nitsch József, 2010. január.

[szerkesztés] 1 ipmaddr

Az net-tools programcsomag része. De használható ip maddr –ként is, ez esetben az iproute2 programcsomag ip programjának egy változata. Segítségével multicast címeket illeszthetünk a hálózati eszközünkre.

Az IP csomag a számítógéphez tartozó hálózati eszközök konfigurálására szolgál. Segítségével elindíthatjuk, leállíthatjuk hálózati eszközeinket, beállíthatjuk azokat. Routing-al kapcsolatos konfigurálást is végezhetünk segítségével.

Az ’ipmaddr’ parancs multicast címek kezelésére szolgál. Az ’ip addr’ paranccsal analóg, csak míg az egyedi ip-címet rendel a hálózati eszközhöz, addig az ipmaddr multicast címet rendel az adott eszközhöz. A multicast címek olyan ip-címek, amelyek nem egy konkrét géphez tartoznak, hanem egy csoportot jelentenek. Egy ilyen csoportba több gép lehet, és az adott multicast címre küldött adatokat minden olyan host megkapja, aki regisztrálva van az adott csoportba. Bővebben a multicast-ról.


Használat:

Az eszközt az ’ipmaddr’ paranccsal érhetjük el. Három fő funkciója van:

- multicast cím csatolása adott eszközhöz

- multicast cím leválasztása eszközről

- multicast címek listázása


Példák:

   # ipmaddr add 224.1.1.2 dev eth0

Az eth0 eszközt regisztrálja a 224.1.1.2 multicast tartományhoz.

   # ipmaddr show

Multicast címek listázása.

   # ipmaddr del 224.1.1.2 dev eth0

A 224.1.1.2 multicast címről leválasztja az eth0 eszközt.

Alkalmazás:

Fő alkalmazási területei közé az úgynevezett datastreaming alkalmazások tartoznak, pl. audio- vagy video- konferencia. Ilyenkor, ha multicast szolgáltatás elérhető, nem kell minden, a konferenciában résztvevő hostnak külön elküldeni az adatot. Helyette a multicast címet használva egy példányban küldjük el a csomagokat, amiket mindenki megkap. Ezzel jelentős sávszélességet takaríthatunk meg, mivel a csomagok egy példányban mennek ameddig csak lehet, és csak akkor duplikálódnak, ha már más útvonalon kell továbbhaladniuk.

[szerkesztés] 2 iptunnel

Szintén a net-tools programcsomag része. De ez is működik ’ip tunnel’-ként is, ami szintén az iproute2 programcsomag ip parancsa. Segítségével ip ’alagutakat’ (ip tunnel) hozhatunk létre. Ezeknek nevet is adhatunk a későbbi hivatkozáshoz.

Az IP alagút (tunnel) olyan összeköttetés, amelyen más IP szolgáltatások teljes csomagjai küldhetők át érintetlenül. Úgy kell elképzelni, hogy az ip alagút egyik végére elküldött csomag (az ip fejléc, és az ip-payload) egy másik ip csomag payload-jába kerül bele. Ezt kiegészíti az ip tunnel fejléc, és az így keletkezett csomag kerül továbbküldésre az ip alagúton. Az alagút másik végén a fogadó gép megkapja a csomagot, értelmezi és eltávolítja az ip tunnel fejlécet, majd a payload-ban lévő ip csomagot (ip fejléc, és payload) a saját alhálózatán továbbküldi. Ezzel elérhetjük hogy két, egymástól távol lévő alhálózatunk között olyan összeköttetés legyen mintha egy alhálózat lenne az egész. IPSec-el kombinálva akár VPN-t (Virtual Private Network) is létrehozhatunk. (IPtunnel-ről bővebben)

Használat:

A programot az ’iptunnel’ parancsal tudjuk használni.

Főbb funkciói:

- IP tunnel létrehozása

- IP tunnel törlése

- IP tunnel információk listázása


Példák:

     # iptunnel add ipt5 mode ipip remote 169.14.168.86 local 91.137.146.129

Ip alagutat hoz létre a 169.14.168.86-os host-hoz localhost-ból, ipt5 néven. A mode kapcsoló az alagút típusát állítja be (lehet: ipip, sit, gre). Az ipip a legegyszerűbb változat, ez ipv4-es csomagok továbbítására jó, de ez okozza a legkisebb overhead-et. Létrejön egy ipt5 nevű hálózati interfész, amelyre hivatkozhatunk más eszközökben, pl ifconfig-ban.

     # iptunnel del ipt5

Az ipt5 csatorna törlése.

     # iptunnel show ipt5
     ipt5: ipv4/ip remote 169.14.168.86 local 91.137.146.129

Kiírja az ipt5 ip alagút adatait. A sor elején az ip alagút neve van. Utána, kettősponttal elválasztva a csatorna típusa, itt az ipv4/ip az ipip-re utal. A local és a remote a csatorna két végpontjának a ip-címe.

Alkalmazásai:

1. IP alagút segítségével VPN-t hozhatunk létre hálózataink között. Ehhez a két hálózaton (1 és 2) ki kell jelölni két gépet (A és B), amelyek között IP alagutat hozunk létre. A két hálózat ezen az alagúton keresztül lesz összekapcsolva. Az 1-s hálózatból a 2-be irányuló csomagokat az alagút 1-s hálózatbeli végpontjához, azaz A-hoz kell irányítani. A a csomagot az alagúton keresztül elküldi B-nek. B kicsomagolja az alagúton átküldött csomagot, és a payload-ban lévő IP csomagot továbbküldi a 2-s hálózaton. A 2-s hálózaton a csomag az eredeti IP fejlécben lévő címzetthez kerül. Ha az ip alagutat pl IPSec mechanizmussal kiegészítjük, akkor egy biztonságos alagutat hozhatunk létre, amely kívülállók számára nem lehallgatható, annak ellenére hogy a publikus interneten mennek át a csomagok.

2. IP tunnel segítségével loadbalancer-t is készíthetünk. Ehhez az kell hogy a loadbalancer-től egy-egy ip alagutat hozunk létre a valódi kiszolgálókig, és az érkező kéréseket elosztjuk köztük. A loadbalancer-re érkező kérések az ip alagúton haladnak a valódi server-ig, így az úgy érzékeli mintha közvetlenül a klienstől jött volna, és neki is fog válaszolni. Forrás

Személyes eszközök