Comment écrire une règle de NAT source en utilisant panorama

Lors de la création d'une règle de NAT source directement sur un pare-feu, il est courant d'utiliser l'adresse d'interface comme type NAT et de sélectionner une adresse IP attachée à cette interface en tant que source NAT Address.

Lors de L'utilisation de panorama, l'adresse de l'Interface ne fournit pas d'interfaces dans la liste déroulante.  Si une interface est tapée dans le champ, le champ d'adresse IP ne permet pas une modification de None. C'est par conception, en raison du grand potentiel de conflits (chaque pare-feu connecté aurait probablement ethernet1/1, ethernet1/2, etc) et du potentiel pour une très grande liste. Panorama peut prendre en charge plus de 100 périphériques, S'il est autorisé à le faire, et chaque pare-feu peut avoir des centaines d'interfaces si les sous-interfaces sont incluses.

Il y a deux scénarios:

1. L'interface du pare-feu a une adresse IP unique définie.

   Dans ce cas, la règle nat peut être configurée avec le type d'adresse'interface address', entrez l'interface et laissez l'adresse IP définie sur'None'. Lorsque cette configuration est poussée vers un périphérique, le périphérique utilise la première adresse IP définie sur l'interface pour traduire le trafic.

   Remarque: cette méthode n'est prise en charge que sur les pare-feu uniques et sur les paires active/passive haute disponibilité (ha). Active/active HA ne prend pas en charge ce type de règle NAT. Appliquez le scénario 2 (ci-dessous) pour les clusters ha actifs/actifs.

   

2. L'interface du pare-feu a plusieurs interfaces définies et l'adresse traduite souhaitée n'est pas la première définie.

   Dans ce cas, vous devez sélectionner le type d'adresse "translated Address" et saisir manuellement l'adresse IP souhaitée.

   

propriétaire : gwesson