Wie man Fallback NAT konfiguriert, wenn dynamischer IP-Pool ausgeschöpft ist

Wie man Fallback NAT konfiguriert, wenn dynamischer IP-Pool ausgeschöpft ist

24271
Created On 09/25/18 18:52 PM - Last Modified 06/07/23 10:12 AM


Resolution


Problem

Es gibt Fälle, in denen wir NAT-IP-Adressen zu einem Pool von Adressen (Dynamic Pool) beziehen und keine IP-und Port-Übersetzungen (Dynamic IP und Port) durchführen wollen. Die Quelle NAT würde ohne Verkehrsprobleme für die Ursprungs Quellen gut funktionieren, bis der IP-Pool ausgeschöpft ist (keine IP mehr für NAT verfügbar). Nachdem der Pool erschöpft ist, wird keine Sitzung für eine neue Ursprungsquelle eingerichtet, und dies wird zu Paket Tropfen für diesen neuen Verkehr führen.

Lösung

PAN-OS 5,0 hat eine Funktion namens "Fallback Dynamic IP Translation" eingeführt, um dieses Problem zu lösen. Verwenden Sie diese Option, um einen Fall-Back-Pool zu erstellen, der IP und Port-Übersetzung durchführt und verwendet wird, wenn der primär Pool keine Adressen mehr hat. Adressen können für den Pool definiert werden, indem man die überSetzte Adress Option oder die Interface-Adress Option verwendet, die für Schnittstellen gilt, die eine IP-Adresse dynamisch erhalten. Wenn Sie einen Fall-Back-Pool erstellen, stellen Sie sicher, dass sich die Adressen nicht mit Adressen im Primär Pool überschneiden. *

Schritte

Die Fallrückzieher-Übersetzungsmethode kann so konfiguriert werden, dass Sie eine alternative Möglichkeit nutzt, um die Quell-IP-Adressen für die neuen Ursprungs Quellen zu übersetzen, sobald der Pool erschöpft ist. Der Fallrückzieher wird unter der Einstellung "Advanced (Dynamic IP/Port Fallrückzieher)" wie folgt konfiguriert:

  1. Gehen Sie zum überSetzten Paket-Tab der NAT-Policy-Regel.
  2. Wählen Sie "überSetzte Adresse" im Drop-Down unter "Advanced (Dynamic IP/Port Fallback)"
    Fallrückzieher NAT überSetzte Adresse
  3. Konfigurieren Sie einen weiteren Adresspool für Dynamic IP
  4. Wählen Sie "Interface-Adresse" im Drop-Down unter "Advanced (Dynamic IP/Port Fallback)"
    Fallrückzieher NAT Interface Adresse
  5. Konfigurieren Sie Interface-basierte Port-Übersetzung (Dynamic IP und Port)

Hinweis: Wenn Sie einen Fall-Back-Pool erstellen, stellen Sie sicher, dass sich die Adressen nicht mit Adressen im Primär Pool überschneiden.

* Aus dem Hilfe Führer > Policen und SicherheitsProfile > Tabelle 148. NAT-Regel Einstellungen (überSetzte Paket-Tab)

Besitzer: Kprakash
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRMCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language