Wie man eine Quelle NAT-Regel mit Panorama schreibt

Bei der Erstellung einer Source-NAT-Regel direkt auf einer Firewall ist es üblich, die Interface-Adresse als NAT-Typ zu verwenden und eine IP zu wählen, die an diese Schnittstelle als Quelle-NAT-Adresse angehängt ist.

Bei der Verwendung von Panorama bietet die Interface-Adresse keine Schnittstellen in der Drop-Down-Liste.  Wenn eine Schnittstelle im Feld eingegeben wird, erlaubt das IP-Adressfeld keine Änderung von keiner. Dies ist durch das Design, wegen des großen Potenzials für Konflikte (jede angeschlossene Firewall hätte wahrscheinlich Ethernet1/1, Ethernet1/2, etc.) und des Potenzials für eine sehr große Liste. Panorama kann über 100 Geräte unterstützen, wenn es dazu lizenziert ist, und jede Firewall kann Hunderte von Schnittstellen haben, wenn Sub-Schnittstellen enthalten sind.

Es gibt zwei Szenarien:

1. Die Firewall-Schnittstelle hat eine einzige IP-Adresse definiert.

   In diesem Fall kann die NAT-Regel mit dem Adress Typ ' Interface-Adresse ' konfiguriert werden, die Schnittstelle eingeben und die IP-Adresse auf ' none ' setzen lassen. Wenn diese Konfiguration auf ein Gerät gedrückt wird, wird das Gerät die erste IP-Adresse verwenden, die auf der Schnittstelle definiert ist, um den Traffic zu übersetzen.

   Hinweis: Diese Methode wird nur auf einzelnen Firewalls und auf aktiven/passiven hoch Verfügbarkeits Paaren (ha) unterstützt. Aktive/aktive HA unterstützen diese Art der NAT-Regel nicht. Anwendung Szenario 2 (unten) für aktive/aktive HA-Cluster.

   

2. Die Firewall-Schnittstelle hat mehrere Schnittstellen definiert und die gewünschte übersetzte Adresse ist nicht die erste definierte.

   In diesem Fall müssen Sie den Adress Typ "überSetzte Adresse" auswählen und manuell die gewünschte IP-Adresse eingeben.

   

Besitzer: Gwesson