网络拓扑:
问题描述: 客户需求需要内网访问的所有数据必须经过AR3设备(包括网络流量的回程流量),数据流量出方向,由Pc1->AR2->AR3->AR2->AR1. 回程方向AR1->AR2->AR3->AR2->PC1(出方向红色,回程流量绿色).不考虑端口镜像.
解决思路:
1.有客户端发起的数据可以根据源地址在AR2上改变下一跳使数据流量到达R3,R3配置静态路由使流量返回AR2,然后从AR2的g0/0/0口发出数据.
2.回程方面:由于pc发出的源地址是172.16.0.2,AR1上没有回程路由因此,需要在AR2上做SNAT,通过session返回,这时出现一个问题,回程的数据无法到达AR3.
3. 为了让数据能够回到AR3,因此在AR3的出接口做SNAT,改变PC请求的源地址.将数据模拟从AR3发出,使得回程数据能够到达R3,R3根据nat的会话返回到PC1.
配置:
AR1
interface GigabitEthernet0/0/0
ip address 12.0.0.1 255.255.255.0
AR2
interface GigabitEthernet0/0/0
ip address 12.0.0.2 255.255.255.0
nat outbound 2001 //配置snat
#
interface GigabitEthernet0/0/1
ip address 23.0.0.2 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 172.16.0.1 255.255.255.0
traffic-policy cg_nhp inbound
acl number 2000 //匹配从pc1发出的流量,修改下一跳到达AR3
rule 5 permit
acl number 2001 //匹配出方向流量最snat
rule 5 permit
traffic-policy cg_nhp inbound
traffic classifier cg_nhp operator or
if-match acl 2000
#
traffic behavior cg_nhp
redirect ip-nexthop 23.0.0.3
#
traffic policy cg_nhp
classifier cg_nhp behavior cg_nhp
AR3
interface GigabitEthernet0/0/1
ip address 23.0.0.3 255.255.255.0
nat outbound 2000
acl number 2000 //匹配pc1的流量 做snat
rule 5 permit source 172.16.0.0 0.0.0.255
ip route-static 0.0.0.0 0.0.0.0 23.0.0.2
测试:
2,3 为什么是星号暂时不清楚,通过wireshark 抓包,查看数据.
查看AR3 nat session
查看AR2 nat session