频道栏目
首页 > 网络 > 路由器 > 正文

路由器静态一对一NAT全局地址同时用于PAT

2017-09-19 08:37:00      个评论    来源:碧云天 的BLOG   
收藏   我要投稿

一.说明

处理一故障,一台主机在思科路由器上做了一对一的静态NAT,从外面能正常通过NAT后的地址ssh登录该设备,但是该主机发送syslog,出来的地址却不是静态NAT后的地址,为路由器接口的地址。

二.原因

经过查看路由器的配置,除了做了静态NAT配置,还做了动态PAT的配置,但是动态配置ACL在前面增加该主机映射的内网地址的deny后,仍然没有效果。登录设备之后,才发现,映射的内网地址,其实是网卡的浮动地址,因为主机主动与外界通讯,不会以浮动地址作为源地址,所以该地址出去时做PAT。

三.解决方法

1.假定:

内网浮动地址:172.16.1.2

内网实际地址:172.16.1.1

内网浮动地址对外一对一映射的全局地址:10.101.16.1

接收syslog的主机地址:10.102.1.1

2.保留原有的虚地址的静态一对一的nat

ip nat inside source static 172.16.1.2 10.101.16.1

2.修改原有的PAT配置,增加首先拒绝syslog出去的包

ip access-list extended pat

deny udp host 172.16.1.1 host 10.102.1.1 eq syslog

permit ip any any

ip nat inside source list pat interface GigabitEthernet0/0 overload

3.增加PAT配置,全局地址的地址池地址为内网浮动地址映射的全局地址

ip access-list extended outpat

permit udp host 172.16.1.1 host 10.102.1.1 eq syslog

ip nat pool outpatpool 10.101.16.1 10.101.16.1 netmask 255.255.255.0

ip nat inside source list outpat pool outpatpool overload

上一篇:ASA的Twice-NAT实现anyconnectVPN地址池内网无路由的PAT
下一篇:黑洞路由技术使用介绍(黑洞路由器)
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站