NAT中TCP负载均衡

配置比较简单,只是需要注意被调用的ACL配置:

环境:

R2(s1)------(s1)R1(e0)-----(e0)R3

R1上配置具体实验,R2测试发起telnet,R3被telnet

1,如果使用非扩展访问列表,则将内部主机对外表现的内部全局地址作为ACL配置部分, 如:

access-list 1 permit 内部全局地址.

E0是内口,S1是外口,11.11.112.11为内部全局地址.

interface Ethernet0

ip address 110.10.10.14 255.255.255.0

ip nat inside

interface Serial1

ip address 11.11.112.11 255.255.255.0

ip nat outside

ip nat pool PL 110.10.10.11 110.10.10.12 prefix-length 24 type rotary

access-list 1 permit 11.11.112.11

看对应的调试信息:

3640admin#1

[Resuming connection 1 to r1 ... ]

*Mar 1 11:20:14.445: NAT: s=11.11.112.12, d=11.11.112.11->110.10.10.11 [0]

R1#

*Mar 1 11:20:40.510: NAT: s=11.11.112.12, d=11.11.112.11->110.10.10.11 [0]

R1#

*Mar 1 11:22:42.156: NAT: s=11.11.112.12, d=11.11.112.11->110.10.10.11 [0]

R1#

R2#

R2#telnet 11.11.112.11

Trying 11.11.112.11 ......

% Connection timed out; remote host not responding

110.10.10.11是我的电脑地址,未开TELNET功能,所以此时发起TLNET的路由器应该连不上

再重新telnet,这次如果被转换成110.10.10.12那么就应该能登陆到R3路由器上,因为110.10.10.12是R3的地址.:

*Mar 1 11:38:50.635: NAT: s=11.11.112.12, d=11.11.112.11->110.10.10.11 [0]

R1#

*Mar 1 11:39:09.331: NAT: s=11.11.112.12, d=11.11.112.11->110.10.10.12 [0]

*Mar 1 11:39:09.347: NAT: s=110.10.10.12->11.11.112.11, d=11.11.112.12 [0]

*Mar 1 11:39:09.371: NAT: s=11.11.112.12, d=11.11.112.11->110.10.10.12 [1]

*Mar 1 11:39:09.379: NAT: s=11.11.112.12, d=11.11.112.11->110.10.10.12 [2]

*Mar 1 11:39:09.387: NAT: s=11.11.112.12, d=11.11.112.11->110.10.10.12 [3]

*Mar 1 11:39:09.407: NAT: s=110.10.10.12->11.11.112.11, d=11.11.112.12 [1]

*Mar 1

*Mar 1 11:39:50.635: NAT: expiring 11.11.112.11 (110.10.10.11) tcp 23 (23)

R1#

从信息可以看出,这次被转成了110.10.10.12

R2#telnet 11.11.112.11

Trying 11.11.112.11 ... Open

User Access Verification

Password:

成功,提示输入密码.

2.如果使用扩展ACL,那么应该将内部全局地址指定为ACL中的目标地址:

我们将ACL改成access-list 122 permit ip host 11.11.112.11 any

然后重新调用 R1(config)#ip nat inside destination list 112 pool PL

这个时候,故意将11.11.112.11作为ACL中源地址,目标地址任意,看这个时候能否发生转换

R1#show ip nat trans

R1#

注意看,没有NAT条目,说明没有发生转换.

R2#telnet 11.11.112.11

Trying 11.11.112.11 ... Open

Password required, but none set

[Connection to 11.11.112.11 closed by foreign host]

R2的信息则返回说需要密码,但未被设置,很明显,R2试图直接TELNET R1了,而不是通过R1的转换TELNET r3

3.将扩展ACL的目标地址改成内部全局地址,看是什么结果:

将ACL改成R1(config)#access-list 112 permit ip any host 11.11.112.11

3640admin#1

[Resuming connection 1 to r1 ... ]

*Mar 1 11:51:46.763: NAT: s=11.11.112.12, d=11.11.112.11->110.10.10.11 [0]

R1(config)#

*Mar 1 11:51:48.763: NAT: s=11.11.112.12, d=11.11.112.11->110.10.10.11 [0]

R1(config)#

*Mar 1 11:51:52.763: NAT: s=11.11.112.12, d=11.11.112.11->110.10.10.11 [0]

R1(config)#

*Mar 1 11:52:00.763: NAT: s=11.11.112.12, d=11.11.112.11->110.10.10.11 [0]

R1(config)#

调试信息显示发生了转换.

总结:

1.测试的时候不要用PING,因为这个NAT的负载均衡只对TCP协议,所以用TELNET测试.

2.需要确保路由器之间能正常进行选路,否则可能会发生,看到转换了却无法TELNET进去.

3.内部全局地址也可以分配到环回地址,只要符合ACL的就可以引发转换.

这实验是在Cisco 3640上做的，有什么问题可以在评论区留言，谢谢！