Cómo crear NAT entrante a un solo servidor con 2 ISPs sin usar retorno simétrico
Resolution
Detalles
Cuando un cortafuegos de Palo Alto Networks tiene acceso a dos o más proveedores de servicios, la creación de una regla NAT entrante debe realizarse de forma diferente debido al hecho de que el tráfico entrante puede provenir de cualquiera de los ISP.
Para este ejemplo;
- LA dirección IP pública que se usará desde el ISP "A" será 1.1.1.1 y conectada a Ethernet 1/1
- La dirección IP pública que se usará desde el ISP "B" será 2.2.2.2 y conectada a Ethernet 1/2
- La puerta de enlace predeterminada de Firewall apunta al ISP "A"
UN requisito crucial para este escenario es que el servidor tenga dos direcciones IP internas. 172.16.1.10 y 172.16.1.11 se usarán para este ejemplo.
Otra alternativa sería utilizar la función de retorno simétrico que alivia la necesidad de varias direcciones IP en el servidor, haga referencia al artículo siguiente para obtener más información sobre la configuración de retorno simétrico para el mismo escenario:
Cómo configurar retorno simétrico
Reglas NAT
| Número de regla | Origen | Destino | Acción |
|---|---|---|---|
| 1 | Zona no confiable | 1.1.1.1 | Traducir destino IP a 172.16.1.10 |
| 2 | 172.16.1.10 | Zona no confiable | Traducir la IP de origen a 1.1.1.1 |
| 3 | Zona no confiable | 2.2.2.2 | Traducir destino IP a 172.16.1.11 |
| 4 | 172.16.1.11 | Zona no confiable | Traducir la IP de origen a 2.2.2.2 |
Regla de reenvío basado en políticas
| Origen | Destino | Reenvío |
|---|---|---|
| 172.16.1.11 | Zona no confiable | Acción: reenvío Interfaz de salida: Ethernet 1/2 Siguiente salto:<ISP "b"s="" gateway="" ip=""></ISP> |
Reglas de seguridad
Cree las reglas necesarias para permitir el tráfico desde/hacia el servidor y confirmar los cambios.
Propietario: jteetsel