NAT·综合实验——静态+动态复用+TCP负载分担

有如下的实验场景：一个A公司使用边界路由器为REB（RouterEnterpriseBorder）的网关设备为内外网络提供基础服务，内网IP地址规划部署为10.1.1.128/25，并且向ISP申请了一个Internet地址100.64.8.8/30和一段作为互联网客服务的IP地址段为：203.0.113.16/28的网络。A公司的WEB-1和WEB-2对外使用一个固定的地址提供WEB服务作为Server，A公司的路由器REB对外提供Telnet和SSH管理连接功能。公司A内部使用PC_i-A和B作为日常访问互联网的主机。网络以外有一个主机Win_EXH作为客户机可以访问公司A内部的任何服务和主机。

实验拓扑图如下：

首先，ISP的管理员至少会为你做如下配置：

hostname ISP
!
interface Ethernet0/0
 ip address 100.64.8.9 255.255.255.252
 no sh
!
interface Ethernet0/1
 ip address 172.16.10.1 255.255.255.0
 no sh
!
ip route 203.0.113.16 255.255.255.240 Ethernet0/0 100.64.8.10
!
end

（可选：在使用dhcp获取固定ip地址之前，先分别在“服务器”上使用自动获取IP地址或使用路由器在接口下ip add dhcp查看客户端唯一标识符（mac地址+硬件类型编码），不喜欢折腾，可以在服务器上直接手动指定。为了考虑终端无配置的方法，也可以选择此种方法，而且自动未服务器指定固定不变的地址。）

如果通过手动静态的指定服务器的方法，以上可忽略；以下REB配置的关于WEB1SVR和WEB2SVR的连个DHCP地址池可直接删掉。

作为企业的关键出口，REB的配置如下：（以下命令行的client-identifier后面的唯一标识符每台设备都不同，Cisco路由器特殊，会很长，但是一般特别是使用以太网卡的服务器都会如上图的PC获取的IP地址那样，以01开头。如10.1.1.130的mac地址是00-50-79-66-68-06，通过添加以太网类型在前面天01即可。）

hostname REB
!
enable password cisco
!
ip dhcp pool INSVR
 network 10.1.1.128 255.255.255.128
 default-router 10.1.1.129
 dns-server 8.8.8.8
!
ip dhcp pool WEB1SVR
 host 10.1.1.200 255.255.255.128
 client-identifier 0063.6973.636f.2d61.6162.622e.6363.3030.2e30.3330.302d.4574.302f.30
!
ip dhcp pool WEB2SVR
 host 10.1.1.205 255.255.255.128
 client-identifier 0063.6973.636f.2d61.6162.622e.6363.3030.2e30.3430.302d.4574.302f.30
!
no ip domain lookup
ip domain name cisco.com
!
crypto key generate rsa modulus 1024
!
username ruijie password 0 cisco
username pt1043 secret 5 $1$467X$cqoUJPSkG8milPrYuFCZN/
!
interface Ethernet0/0
 ip address 100.64.8.10 255.255.255.252
 ip nat outside
 no sh
!
interface Ethernet0/1
 ip address 10.1.1.129 255.255.255.128
 ip nat inside
 no sh
!
ip nat pool AI 203.0.113.30 203.0.113.30 netmask 255.255.255.240
ip nat pool WEBSVR 10.1.1.200 10.1.1.220 prefix-length 25 type rotary
ip nat inside source list 99 pool AI overload
ip nat inside source static tcp 10.1.1.129 22 203.0.113.17 22 extendable
ip nat inside source static tcp 10.1.1.129 23 203.0.113.17 23 extendable
ip nat inside destination list 1 pool WEBSVR
ip route 0.0.0.0 0.0.0.0 Ethernet0/0 100.64.8.9
ip ssh version 2
!
access-list 1 permit 203.0.113.18
access-list 99 permit 10.1.1.128 0.0.0.127
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line vty 0 4
 login local
 transport input telnet ssh
!
end

配置TCP负载分担的关键参数type rotary是设置一个到你所提供地址池的循环寻址方式。

10.1.1.200以提前绑定，查看获取到10.1.1.135的客户端唯一标识符（Cisco的硬件很接近，只是差异在一个关键位置是3330和3430）

关闭地址或释放接口后重新获取地址后的查看信息：

10.1.1.130和131是两个LAN客户端自动获得的地址，通过NAT转换后可以访问外部主机Win_EXH（172.16.10.10）。

以上拓扑图中的两个web服务器是使用的Cisco路由器模拟的http服务器（Cisco路由器模拟主机的两种方法，其中一种是用路由器模拟为关闭路由功能并填写ip default-gateway地址，另一种是使用默认路由做外出连接。这两种方法的任何一种都可以，现网环境除了测试，没有人会拿路由器做WEB服务。）WEB-1和WEB-2配置如下：

hostname WEB-1
!
enable password cisco
!
no ip routing
!
interface Ethernet0/0
 ip address dhcp
 no sh
!
ip default-gateway 10.1.1.129
!
ip http server

hostname WEB-2
!
enable password cisco
!
interface Ethernet0/0
ip address dhcp
no sh
!
ip http server
ip route 0.0.0.0 0.0.0.0 10.1.1.129

Win_EXH的手动配置的IP地址为：

使用A公司以外的主机——Win_EXH访问REB企业内部对外的Web服务器IP地址为203.0.113.18：

再开一个浏览器窗口继续访问目标地址203.0.113.18的显示为：

内外网互访后，查看路由器上的NAT转换如下：

再看额外冗余细节信息如下：

使用外部路由器ISP连接A公司企业内部路由器REB测试：

在远程客户端最终测试如下：