静态一对一NAT全局地址同时用于PAT

一.说明

处理一故障,一台主机在思科路由器上做了一对一的静态NAT,从外面能正常通过NAT后的地址ssh登录该设备,但是该主机发送syslog,出来的地址却不是静态NAT后的地址,为路由器接口的地址。

二.原因

经过查看路由器的配置,除了做了静态NAT配置,还做了动态PAT的配置,但是动态配置ACL在前面增加该主机映射的内网地址的deny后,仍然没有效果。登录设备之后,才发现,映射的内网地址,其实是网卡的浮动地址,因为主机主动与外界通讯,不会以浮动地址作为源地址,所以该地址出去时做PAT。

三.解决方法

1.假定:

内网浮动地址:172.16.1.2

内网实际地址:172.16.1.1

内网浮动地址对外一对一映射的全局地址:10.101.16.1

接收syslog的主机地址:10.102.1.1

2.保留原有的虚地址的静态一对一的nat

ip nat inside source static 172.16.1.2 10.101.16.1

2.修改原有的PAT配置,增加首先拒绝syslog出去的包

ip access-list extended pat

deny   udp host 172.16.1.1 host 10.102.1.1 eq syslog

permit ip any any

ip nat inside source list pat interface GigabitEthernet0/0 overload

3.增加PAT配置,全局地址的地址池地址为内网浮动地址映射的全局地址

ip access-list extended outpat

permit udp host 172.16.1.1 host 10.102.1.1 eq syslog

ip nat pool outpatpool 10.101.16.1 10.101.16.1 netmask 255.255.255.0

ip nat inside source list outpat pool outpatpool overload

时间: 2024-10-13 08:30:30

静态一对一NAT全局地址同时用于PAT的相关文章

NAT网络地址转换——动态地址转换,PAT端口多路复用(实操!!)

动态NAT地址转换 实验拓扑图 1,配置sw二层交换机 sw#conf t sw(config)#no ip routing //关闭路由功能 sw(config)#int f1/0 sw(config-if)#speed 100 //配置速率 sw(config-if)#dup full //配置全双工模式 2,配置R1路由器,并配置NAT 1)配置路由的接口地址网关 R1#conf t ##全局模式 R1(config)#int f0/0 ##进入接口 R1(config-if)#ip ad

Exchange2016将用户头像发布到全局地址列表(GAL)

以前我们介绍过如何在Exchange Server 2010中将用户头像发布到全局地址列表中的方法,现在最新的邮件系统已经到了Exchange Server 2016了,那我们来看看如何进行配置. 1.以管理员身份打开CMD命令提示符窗口,输入,如下图所示: 2.打开MMC控制台窗口,添加Active Directory架构,如下图所示: 3.在下图所示页面中,右键thumbnailphoto,选择属性. 4.检查如下内容是否被选中. 5.将员工照片存储在邮件服务器中,大小不能超过10K,如下图

Postfix邮箱(十五):全局地址本自动生成脚本

说明: 很久没弄邮箱了,老早就有想法写个脚本自动生成全局地址本,每次添加一个用户还要SSH连到服务器加个地址本,麻烦死了,想必大家都有这样的情况:这周有点空就研究了下python语言,写了这么个脚本出来,共享出来一起学习. 1.安装     一般情况下系统已默认安装,我的操作系统centos6.5装的是python2.4.3 yum install -y MySQL-python 2.脚本 cd /var/www/excuite/extmail vi globabook.py #!/usr/bi

C和C++的面向对象专题(7)——单例模式解决静态成员对象和全局对象的构造顺序难题

本专栏文章列表 一.何为面向对象 二.C语言也能实现面向对象 三.C++中的不优雅特性 四.解决封装,避免接口 五.合理使用模板,避免代码冗余 六.C++也能反射 七.单例模式解决静态成员对象和全局对象的构造顺序难题 八.更为高级的预处理器PHP 七.单例模式解决静态成员对象和全局对象的构造顺序难题 上回书说道,我们的程序有一个隐藏的漏洞,如果ClassRegister这个类所在的.o文件,如果在所有.o文件中是第一个被链接的的,那么就不会出问题. 这么说太抽象了,让我们画个图表 ClassRe

Exchange 2010默认全局地址列表问题

今天遇到一个关于Exchange全局地址列表的问题,解决过程分享给大家. 一.问题现场 在Exchange 2010控制台或者使用命令设置"脱机通讯簿"的地址列表时,无法勾选"包括默认全局地址列表",如图. 二.解决方法 通过命令Get-GlobalAddresslist查看全局地址列表信息,发现IsDefaultGlobalAddressList设置为False. 接下来,我们就只需要将IsDefaultGlobalAddressList设置为True即可.(可以

Windows Azure 设置虚拟机静态外网IP地址

官方说法叫做“虚拟公共IP地址保留”,为容易理解,我们称之为静态外网IP地址. 如果在国内使用国际版Windows Azure服务时强烈推荐为虚拟机设置IP地址保留. 由于Windows Azure Cloud Service的内部IP地址和虚拟公共IP地址(VIP)是非固定的,且不允许自行更改,很有可能会遇到被分配到一个在国内无法访问的IP地址(大墙V5).因此在能够正常访问时,设置保留此IP地址. 注:需要额外支付费用,定价信息请参考:http://azure.microsoft.com/e

飞思卡尔单片机中逻辑地址和全局地址关系

在编写P-Flash时,我们首先需要搞明白飞思卡尔内部Flash memory的管理机制,这其中就涉及到我们访问Flash是采用逻辑地址还是全局地址,逻辑地址是由单片机内部的内存管理机制决定的,而全局地址对应的是物理地址.逻辑地址最终都会映射到物理地址上的某段区间. 关于逻辑地址和物理地址的关系,可以参考以下文章<programing flash memory in freescale s08/s12/codefire mcus family>  链接:http://www.docin.com

配置基于全局地址池的DHCP

1.全局地址池的DHCP实验 1.1 实验目的 1.2 实验拓扑 1.3 实验编址 1.4 实验步骤 step1:根据实验编址,进行有关配置,并开启DHCP服务 step2:使用命令,ip pool xxx 创建一个全局地址池 step3:使用network命令配置全局地址池可动态分配的地址范围,不指定掩码则默认使用自然掩码,即24位,该网段必须与接口所属网段一致. step4:使用命令 lease day来设置地址租期,默认1天,同一地址池中,租期相同. step5:设置出口网关地址 step

基于全局地址池的DHCP

一.实验目的 二.实验拓扑图 .三.实验编址 四.实验步骤 1.配置IP 2.配置基于全局地址池的DHCP server 使用IP pool命令创建一个新的全局地址池,名称为hjt1 配置hjt1可动态分配的网段范围为192.168.1.0,该网段必须与路由器接口GE 0/0/0 的IP为同一地址段 使用lease day 命令配置DHCP全局地址池的地址租期, 配置DHCP客户端的出口网关地址, 并配置192.168.1.250到192.168.1.253这些地址不参与自动分配 配置DNS服务