如何在不使用对称返回的情况下, 为具有 2 isp 的单个服务器创建入站 NAT
28272
Created On 09/25/18 17:51 PM - Last Modified 06/05/23 08:01 AM
Resolution
详细
当帕洛阿尔托网络防火墙可以访问两个或多个服务提供程序时, 创建入站 NAT 规则必须不同, 因为入站通信可能来自任一 ISP。
为这个例子;
- 从 ISP "A" 使用的公共 IP 地址将1.1.1.1 并连接到以太网1/1
- 从 ISP "B" 使用的公共 IP 地址将2.2.2.2 并连接到以太网1/2
- 防火墙的默认网关指向 ISP "A"
此方案的一个关键要求是服务器有两个内部 IP 地址。172.16.1.10 和172.16.1.11 将用于此示例。
另一种选择是使用对称返回功能来缓解服务器上多个 IP 地址的需要, 参考下面的文章, 了解有关为同一方案配置对称返回的更多信息:
NAT 规则
| 规则编号 | 源 | 目标 | 行动 |
|---|---|---|---|
| 1 | 不受信任区域 | 1.1.1.1 | 将目标 IP 转换为172.16.1.10 |
| 2 | 172.16.1.10 | 不受信任区域 | 将源 IP 转换为1.1.1。1 |
| 3 | 不受信任区域 | 2.2.2。2 | 将目标 IP 转换为172.16.1.11 |
| 4 | 172.16.1.11 | 不受信任区域 | 将源 IP 转换为2.2.2。2 |
基于策略的转发 () 规则
| 源 | 目标 | 转发 |
|---|---|---|
| 172.16.1.11 | 不受信任区域 | 操作: 转发 出口接口: 以太网1/2 下一跃点:<ISP "b"s="" gateway="" ip=""></ISP> |
安全规则
创建必要的规则以允许从服务器进行通信并提交更改。
所有者: jteetsel