Схема:

Задача:
Настроить source NAT для интерфейса в сторону провайдера (ISP) для исходящего трафика согласно схеме. В качестве IP-адреса для NAT будет использоваться VRRP IP 203.0.113.2/29.

Исходная конфигурация маршрутизатора Master:

esr# show running-config 

security zone trusted
exit
security zone untrusted
exit

interface gigabitethernet 1/0/1
  security-zone trusted
  ip address 192.0.2.130/25
  vrrp 1
    ip address 192.0.2.129/25
    priority 120
    group 1
    enable
  exit
exit
interface gigabitethernet 1/0/2
  security-zone untrusted
  ip address 203.0.113.3/29
  vrrp 2
    ip address 203.0.113.2/29
    priority 120
    group 1
    enable
  exit
exit

security zone-pair trusted untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair untrusted self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit
security zone-pair trusted self
  rule 1
    action permit
    match protocol vrrp
    enable
  exit
exit

ip route 0.0.0.0/0 203.0.113.1

Решение задачи:
Поскольку конечная конфигурация NAT будет совпадать для Master и Backup маршрутизаторов, то в качестве примера рассмотрим конфигурацию NAT на Master маршрутизаторе.

При настройке source NAT для данной схемы необходимо учесть следующие моменты:

1) Необходимо настроить исключающее правило NAT, чтобы не изменять физический IP-адрес для VRRP-пакетов.

2) В правиле для подмены source address на VRRP IP нельзя использовать параметр action source-nat interface, поскольку будет происходить подмена source address не на VRRP IP, а на физический адрес самого интерфейса. Необходимо использовать action source-nat pool <NAME_POOL>, в котором будет указан VRRP IP адрес для подмены.

Настроим NAT в соответствии с примечанием:
1) Создадим pool, в котором опишем IP-адрес для подмены. В качестве IP-адреса укажем VRRP IP 203.0.113.2:

esr# configure terminal 
esr(config)# nat source
esr(config-snat)# pool VRRP
esr(config-snat-pool)# ip address-range 203.0.113.2
esr(config-snat-pool)# exit

2) Создадим ruleset и укажем интерфейс, на котором будет происходить NAT для исходящего трафика:

esr(config-snat)#
esr(config-snat)# ruleset s_nat
esr(config-snat-ruleset)# to interface gigabitethernet 1/0/2

3) Настроим исключающее правило для VRRP-пакетов:

esr(config-snat-ruleset)#
esr(config-snat-ruleset)# rule 1
esr(config-snat-rule)# match protocol vrrp
esr(config-snat-rule)# action source-nat off
esr(config-snat-rule)# enable
esr(config-snat-rule)# exit

4) Настроим правило для подмены source address исходящих пакетов на VRRP IP. Для подмены будет использовать pool, настроенный в 1-ом пункте.

esr(config-snat-ruleset)# 
esr(config-snat-ruleset)# rule 2
esr(config-snat-rule)# action source-nat pool VRRP
esr(config-snat-rule)# enable
esr(config-snat-rule)# end
esr# 

5) Применим и сохраним конфигурацию NAT:

esr# commit 
esr# confirm

Вывод оперативной информации:
В результате, после настройки NAT - для всего исходящего трафика, кроме VRRP, будет происходить подмена source-address на маршрутизаторе, у которого VRRP находится в состоянии Master:

esr# ping 203.0.113.1 source ip 192.0.2.130 
PING 203.0.113.1 (203.0.113.1) from 192.0.2.130 : 56 bytes of data.
!!!!!
--- 203.0.113.1 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 0.558/0.592/0.677/0.052 ms
esr# ping 203.0.113.1
PING 203.0.113.1 (203.0.113.1) 56 bytes of data.
!!
--- 203.0.113.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.590/0.615/0.641/0.035 ms
esr# 
esr# show ip nat translations 
Prot   Inside source           Inside destination      Outside source          Outside destination     Pkts         Bytes        
----   ---------------------   ---------------------   ---------------------   ---------------------   ----------   ----------   
icmp   203.0.113.3             203.0.113.1             203.0.113.2             203.0.113.1             --           --           
icmp   192.0.2.130             203.0.113.1             203.0.113.2             203.0.113.1             --           --                
esr# show ip firewall sessions 
 Codes: E - expected, U - unreplied,
        A - assured, C - confirmed

Prot    Aging        Inside source           Inside destination      Outside source          Outside destination     Pkts         Bytes        Status   
-----   ----------   ---------------------   ---------------------   ---------------------   ---------------------   ----------   ----------   ------   
icmp    23           203.0.113.3             203.0.113.1             203.0.113.2             203.0.113.1             --           --           C        
icmp    1            192.0.2.130             203.0.113.1             203.0.113.2             203.0.113.1             --           --           C          
vrrp    59           203.0.113.3             224.0.0.18              203.0.113.3             224.0.0.18              --           --           UC       
vrrp    59           192.0.2.130             224.0.0.18              192.0.2.130             224.0.0.18              --           --           UC