Comment faire pour créer NAT entrant à un seul serveur avec 2 FSI sans utiliser le retour symétrique
Resolution
Détails
Lorsqu'un pare-feu Palo Alto Networks a accès à deux fournisseurs de services ou plus, la création d'une règle NAT entrante doit être effectuée différemment en raison du fait que le trafic entrant peut provenir de l'un ou L'autre FAI.
Pour cet exemple;
- L'adresse IP publique à utiliser par le FAI "A" sera 1.1.1.1 et connectée à Ethernet 1/1
- L'adresse IP publique à utiliser par le FAI "B" sera 2.2.2.2 et connectée à Ethernet 1/2
- La passerelle par défaut du pare-feu pointe vers le FAI "A"
Une exigence cruciale pour ce scénario est que le serveur ait deux adresses IP internes. 172.16.1.10 et 172.16.1.11 seront utilisés pour cet exemple.
Une autre alternative serait d'utiliser la fonctionnalité de retour symétrique qui atténue le besoin de plusieurs adresses IP sur le serveur, référence l'article suivant pour plus d'informations sur la configuration du retour symétrique pour le même scénario:
Comment configurer le retour symétrique
Règles NAT
| Numéro de règle | Source | Destination | Action |
|---|---|---|---|
| 1 | Zone non fiable | 1.1.1.1 | Définition de destination IP à 172.16.1.10 |
| 2 | 172.16.1.10 | Zone non fiable | Définition de source IP to 1.1.1.1 |
| 3 | Zone non fiable | 2.2.2.2 | Définition de destination IP à 172.16.1.11 |
| 4 | 172.16.1.11 | Zone non fiable | Définition de source IP to 2.2.2.2 |
Règle de transfert basée sur les politiques (PBR)
| Source | Destination | Transfert |
|---|---|---|
| 172.16.1.11 | Zone non fiable | Action: transfert Interface de sortie: Ethernet 1/2 Prochain saut:<ISP "b"s="" gateway="" ip=""></ISP> |
Règles de sécurité
Créez les règles nécessaires pour autoriser le trafic vers/à partir du serveur et valider les modifications.
propriétaire : jteetsel