NAT状态化应用实验.docx

NAT状态实验（不同于常规的实验拓扑）一般找到的关于状态化的配置是两个MA网段以及两段HSRP的配置，该实验笔者自己想到的一个拓扑，结果也测试成功了，所以写出来供大家参考一下，希望指正哈；对于ISP以及内网主机和远端设备的配置就没有贴出来了，比较简单；内网主机取消路由功能，配置网关指向HSRP的虚地址；ISP配置常规接口地址，宣告三个直连接口，启用路由协议保证和远端设备的路由连通性；远端设备常规配置接口地址，启用路由协议，宣告直连和环回口；实验目的:内网主机去访问远端设备的环回口地址，在出口设备上做NAT转换，内部的NAT做状态化应用，使得内网主机通过设备1NAT转换出去，被转换后的地址是200.1.1.200-210，从而使得远端设备回复内网主机的访问时候从出口NAT设备2进入，因为NAT状态化在内部的部署，设备而拥有和设备1相同的NAT转换信息表，进而设备2将回复的地址转换后传递给内网主机，实现基于NAT状态化配置的负载均衡；就算内网的HSRP的active设备被降低优先级，standby设备依旧可以保持会话并且切换HSRP状态；R3配置：#track 1 interface Serial1/0 line-protocol配置一个track跟踪本地的接口! interface FastEthernet0/0常规的接口配置 ip address 192.168.1.3 255.255.255.0 ip nat inside配置接口为inside ip virtual-reassembly duplex auto speed auto standby 1 ip 192.168.1.100配置内网的HSRP虚地址 standby 1 priority 105配置HSRP优先级 standby 1 preempt配置HSRP抢占 standby 1 name test配置HSRP组的名字 standby 1 track 1 decrement 10配置HSRP关联track来降低优先级interface Serial1/0常规接口配置 ip address 100.1.1.3 255.255.255.0 ip nat outside ip virtual-reassembly serial restart-delay 0!ip route 0.0.0.0 0.0.0.0 100.1.1.2配置默认路由模拟连接ISP!ip nat Stateful id 1配置NAT状态功能 redundancy test备份HSRP名字为test的组 mapping-id 100映射ID interface FastEthernet0/0 protocol udpip nat pool address 200.1.1.200 200.1.1.210 netmask 255.255.255.0定义nat地址池为设备2的外网地址ip nat inside source list 1 pool address mapping-id 100 overload配置匹配inside方向的数据被替换成地址池中的地址并且映射ID为100支持循环使用!access-list 1 permit 192.168.1.0 0.0.0.255抓取内网感兴趣网段no cdp run!R3# R4配置：#interface FastEthernet0/0 ip address 192.168.1.4 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto standby 1 ip 192.168.1.100 standby 1 preempt standby 1 name testinterface Serial1/1 ip address 200.1.1.4 255.255.255.0 ip nat outside ip virtual-reassembly serial restart-delay 0!ip route 0.0.0.0 0.0.0.0 200.1.1.2!ip nat Stateful id 1 redundancy test mapping-id 100 interface FastEthernet0/0 protocol udpip nat pool address 200.1.1.200 200.1.1.210 netmask 255.255.255.0ip nat inside source list 1 pool address mapping-id 100 overload!access-list 1 permit 192.168.1.0 0.0.0.255no cdp run!命令解释如R3这样的配置就可以得到内网的数据从设备1出去并且被转换，远端的数据从设备2回来并且被翻译后传递给内部主机；R3只对出去的数据做地址转换；R4只对返回的数据做地址翻译；同步的NAT转换表：拓扑实验原理：当内网主机去访问远端的1.1.1.1地址的数据被发送给网关192.168.1.100，就是内网HSRP虚拟出的地址，因为设备1是active所以由设备1接受该数据，当数据从inside接口进入的，设备1查找本地路由表，需要通过默认路由从S1/0发出，此时命中了NAT的转换兴趣流，所以设备1从S1/0发出的时候将源地址修改为200.1.1.200-210的地址，数据发送给ISP接入设备，该设备查看目的IP地址查找路由发送给远端设备，同理的远端设备查找200.1.1.0的路由，将回包发送给ISP接入设备，此时ISP设备查找路由表去转发目的地址为200.1.1.0的路由条目，此时将数据转发给NAT设备2，当设备2收到该数据时默认情况下是匹配目的IP地址然后丢包，但是在内网做HSRP和NAT时的状态化配置使得，设备2同步了设备1的NAT转换表，从而设备2通过outside接口收到的数据通过NAT转换表对200.1.1.200-210的地址做翻译，得到目标地址为192.168.1.6，此时转发数据包到达内网主机；配置注意事项：在配置HSRP时候注意active的选举和standby的设备之前的抢占功能；Mapping ID 是标记了一个nat转换命令；状态化配置首先配置