Cómo escribir una regla NAT de origen mediante panorama

Al crear una regla NAT de origen directamente en un cortafuegos, es común utilizar la dirección de la interfaz como tipo de NAT y seleccionar una IP adjunta a esa interfaz como la dirección NAT de origen.

Cuando se utiliza panorama, la dirección de interfaz no proporciona ninguna interfaz en la lista desplegable.  Si se escribe una interfaz en el campo, el campo dirección IP no permite un cambio de ninguno. Esto es por diseño, debido al gran potencial de conflictos (cada Firewall conectado probablemente tendría ethernet1/1, ethernet1/2, etc.) y del potencial para una lista muy grande. Panorama puede soportar más de 100 dispositivos, si tienen licencia para hacerlo, y cada Firewall puede tener cientos de interfaces si se incluyen subinterfaces.

Hay dos escenarios:

1. La interfaz del cortafuegos tiene una sola dirección IP definida.

   En este caso, la regla NAT puede configurarse con el tipo de dirección ' dirección de interfaz ', entrar en la interfaz y dejar la dirección IP establecida en ' none '. Cuando esta configuración es empujada a un dispositivo, el dispositivo usará la primera dirección IP definida en la interfaz para traducir el tráfico.

   Nota: este método sólo se admite en cortafuegos individuales y en pares de alta disponibilidad activa/pasiva (ha). La HA activa/activa no admite este tipo de regla NAT. Aplique el escenario 2 (abajo) para clústeres de ha activo/activo.

   

2. La interfaz del cortafuegos tiene varias interfaces definidas y la dirección traducida deseada no es la primera definida.

   En este caso, debe seleccionar el tipo de dirección "dirección traducida" y escribir manualmente la dirección IP deseada.

   

Propietario: gwesson