対称リターンを使用せずに2つの isp を持つ単一のサーバーに受信 NAT を作成する方法
28276
Created On 09/25/18 17:51 PM - Last Modified 06/05/23 08:01 AM
Resolution
詳細
パロアルトネットワークファイアウォールが2つ以上のサービスプロバイダにアクセスできる場合は、受信トラフィックがどちらかの ISP から発生する可能性があるため、受信 NAT ルールを作成することは、異なる方法で行うことができます。
この例では、
- ISP "A" から使用されるパブリック IP アドレスは、1.1.1.1 され、イーサネット1/1 に接続します。
- ISP "B" から使用されるパブリック IP アドレスは2.2.2.2 され、イーサネット1/2 に接続します。
- ファイアウォールのデフォルトゲートウェイは、ISP の "A" を指します
このシナリオの重要な要件は、サーバーが2つの内部 IP アドレスを持つことです。この例では、172.16.1.10 と172.16.1.11 が使用されます。
別の方法としては、対称リターン機能を使用して、サーバー上の複数の IP アドレスの必要性を軽減し、同じシナリオで対称リターンを構成する方法の詳細については、次の記事を参照してください。
NAT ルール
| ルール番号 | ソース | デスティネーション | アクション |
|---|---|---|---|
| 1 | 信頼できないゾーン | 1.1.1.1 | 宛先 IP を172.16.1.10 に変換 |
| 2 | 172.16.1.10 | 信頼できないゾーン | ソース IP を1.1.1.1 に変換 |
| 3 | 信頼できないゾーン | 2.2.2.2 | 宛先 IP を172.16.1.11 に変換 |
| 4 | 172.16.1.11 | 信頼できないゾーン | ソース IP を2.2.2.2 に変換 |
ポリシーベースの転送 (PBR) ルール
| ソース | デスティネーション | 転送 |
|---|---|---|
| 172.16.1.11 | 信頼できないゾーン | アクション: 転送 出口インターフェイス: イーサネット1/2 次のホップ:<ISP "b"s="" gateway="" ip=""></ISP> |
セキュリティルール
サーバーとの間のトラフィックを許可し、変更をコミットするために必要なルールを作成します。
所有者: jteetsel