Wie man Inbound NAT zu einem einzigen Server mit 2 ISPs erstellt, ohne symmetrische Rendite zu verwenden
Resolution
Details
Wenn eine Palo Alto Networks Firewall Zugang zu zwei oder mehr Dienstleistern hat, muss die Erstellung einer eingehenden NAT-Regel anders erfolgen, da der eingehende Verkehr von beiden ISP kommen könnte.
Für dieses Beispiel;
- Die öffentliche IP-Adresse, die von ISP "A" verwendet werden soll, wird 1.1.1.1 und mit Ethernet 1/1
- Die öffentliche IP-Adresse, die von ISP "B" verwendet werden soll, wird 2.2.2.2 und mit Ethernet 1/2
- Firewall-Standard-Gateway verweist auf ISP "A"
EINE entscheidende Voraussetzung für dieses Szenario ist, dass der Server zwei interne IP-Adressen hat. 172.16.1.10 und 172.16.1.11 werden für dieses Beispiel verwendet.
Eine weitere Alternative wäre, die symmetrische Return-Funktion zu nutzen, die den Bedarf an mehreren IP-Adressen auf dem Server lindert, auf den folgenden Artikel für weitere Informationen über die Konfiguration der symmetrischen Rendite für das gleiche Szenario zu verweisen:
Konfigurieren von symmetrischen Rückkehr
NAT Rules
Regel Nummer | Quelle | Ziel | Aktion |
---|---|---|---|
1 | Nicht vertrauenswürdige Zone | 1.1.1.1 | ÜberSetzen Sie Destination IP auf 172.16.1.10 |
2 | 172.16.1.10 | Nicht vertrauenswürdige Zone | ÜberSetzen Sie die Quelle IP auf 1.1.1.1 |
3 | Nicht vertrauenswürdige Zone | 2.2.2.2 | ÜberSetzen Sie Destination IP auf 172.16.1.11 |
4 | 172.16.1.11 | Nicht vertrauenswürdige Zone | ÜberSetzen Sie die Quelle IP auf 2.2.2.2 |
RichtLinie über die PolitikBasierte Spedition (PBR)
Quelle | Ziel | Weiterleitung |
---|---|---|
172.16.1.11 | Nicht vertrauenswürdige Zone | Aktion: Spedition Egress-SchnittStelle: Ethernet 1/2 Next Hop:<ISP "b"s="" gateway="" ip=""></ISP> |
SicherheitsRegeln
Erstellen Sie die notwendigen Regeln, um den Datenverkehr zum/vom Server zu ermöglichen und die Änderungen zu übertragen.
Besitzer: Jteetsel