首先简单说下 Tunnel 的意思,翻译成中文叫隧道,类似生活中的隧道,里面的内容我们看不到,除非身处隧道。企业在进行跨网数据传输时,为了数据安全,就会用到隧道技术。
实验拓扑
下图中的实验,我们在 R1 和 R3 上面建立隧道,而 R2 是隧道传输数据的介质:
实验配置
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
| R1#configure terminal R1(config)#interface fastEthernet 0/0 R1(config-if)#ip address 192.168.10.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface fastEthernet 1/0 R1(config-if)#ip address 12.1.1.2 255.255.255.0 R1(config-if)#no shutdown R1(config)#interface tunnel 1 R1(config-if)#tunnel source 12.1.1.2 R1(config-if)#tunnel destination 23.1.1.2 R1(config-if)#ip address 100.1.1.1 255.255.255.0 R1(config-if)#exit R1(config)#ip route 0.0.0.0 0.0.0.0 f1/0 R1(config)#ip route 192.168.20.0 255.255.255.0 tunnel 1
|
1 2 3 4 5 6 7 8
| R2#configure terminal R2(config)#interface fastEthernet 0/0 R2(config-if)#ip address 12.1.1.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#interface fastEthernet 1/0 R2(config-if)#ip address 23.1.1.1 255.255.255.0 R2(config-if)#no shutdown
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
| R3#configure terminal R3(config)#interface fastEthernet 0/0 R3(config-if)#ip address 192.168.20.1 255.255.255.0 R3(config-if)#no shutdown R3(config-if)#exit R3(config)#interface fastEthernet 1/0 R3(config-if)#ip address 23.1.1.2 255.255.255.0 R3(config-if)#no shutdown R3(config-if)#exit R3(config)#interface tunnel 2 R3(config-if)#tunnel source 23.1.1.2 R3(config-if)#tunnel destination 12.1.1.2 R3(config-if)#ip address 100.1.1.2 255.255.255.0 R3(config-if)#exit R3(config)#ip route 0.0.0.0 0.0.0.0 f1/0 R3(config)#ip route 192.168.10.0 255.255.255.0 tunnel 2
|
再次测试
接下来我们在 R2 上添加 ACL 禁止 192.168.10.0 网段通过 R2 路由器,命令如下:
1 2 3 4
| R2(config)#access-list 1 deny 192.168.10.0 0.0.0.255 R2(config)#access-list 1 permit any R2(config)#interface fastEthernet 0/0 R2(config-if)#ip access-group 1 in
|
数据成功通过。因为 R2 并未处在隧道中,只是数据通信介质,所以并不能对数据进行限制: