tunnel通道原理是在原有数据包IP报文前面插入一段不带数据但源IP地址和目的IP地址都不同的报文。

路由转发的时候，解封装根据后来插入的目的地址进行路由，隐藏节点，增加网络安全性。

tunnel 其实可以看做是一个直连的逻辑接口。分别连接了两个开通了通道的路由器。

基本配置：

本地路由R1

(config): int tunnel 通道序号(任意整数)

(if): ip address 通道IP地址(建议和本地路由接口不在同一网段) 子网掩码

(if): tunnel source 本地路由器R1上的还回接口地址(lookback口)

(if): tunnel destination 远端路由器R2上还回接口地址 (lookback口)

(config): ip route 远端路由R2内部网段 子网掩码 tunnel 通道序号

远端路由R2：

(config): int tunnel 通道序号(任意整数)

(if): ip address 通道IP地址(建议和本地路由接口不在同一网段) 子网掩码

(if): tunnel source 本地路由器R2上的还回接口地址(lookback口)

(if): tunnel destination 远端路由器R1上还回接口地址 (lookback口)

(config): ip route 远端路由R1内部网段 子网掩码 tunnel 通道序号

需要注意的是tunnel序号必须一致，

通道IP地址要在同一网段能互访，

通道源IP和目的IP要用还回接口否则会出现临时租用错误并且tunnel口协议down。

两台路由之间的源和目的地址相反，

须要配置静态路由，不能用动态路由指定如何路由到远端内网，因为静态路由优先级高。

NAT静态映射：

首先在路由器接口上定义进（inside）和出（outside）:

指定入口：

(if): (config): int f0/0              （连接内网）

(config): ip nat inside            （指定为目标数据包即要转换的数据包的入口）

 指定出口

(if): int s0/1                             （连接外网）

(config): ip nat outside          （指定为目标数据包即要转换的数据包的出口）

 静态映射：

 (config): ip nat inside source 内网地址（不是f0/0接口地址） 外网地址（不一定是s0/1地址）

这样最简单静态映射就配置完成，可以用trceroute命令通过抓包验证是否映射成功。