如何使用全景写源 NAT 规则

在防火墙上直接创建源 nat 规则时, 通常使用接口地址作为 nat 类型, 并选择附加到该接口的 IP 作为源 nat 地址。

使用全景图时, 接口地址不提供下拉列表中的任何接口。  如果在字段中键入了接口, 则 "IP 地址" 字段不允许任何更改。这是通过设计, 因为有很大的潜在的冲突 (每个连接的防火墙可能有 ethernet1/1, ethernet1/2 等) 和潜在的一个非常大的列表。全景可以支持100多个设备 (如果有许可证), 并且如果包含子接口, 则每个防火墙都可以有数以百计的接口。

有两种情况:

1. 防火墙接口定义了单个 IP 地址。

   在这种情况下, 可以使用地址类型 "接口地址" 配置 NAT 规则, 输入接口并将 IP 地址设置为 "无"。将此配置推送到设备时, 设备将使用接口上定义的第一个 IP 地址来转换通信量。

   注意:此方法仅在单个防火墙和主动/被动高可用性 (HA) 对上支持. 主动/主动 HA 不支持此类型的 nat 规则。对主动/主动 HA 群集应用方案 2 (下)。

   

2. 防火墙接口定义了多个接口, 所需的翻译地址不是第一个定义的。

   在这种情况下, 您必须选择地址类型 "已翻译的地址" 并手动输入所需的 IP 地址。

   

所有者： gwesson