Comment faire pour configurer le NAT de secours si Dynamic IP pool est épuisé

Comment faire pour configurer le NAT de secours si Dynamic IP pool est épuisé

24269
Created On 09/25/18 18:52 PM - Last Modified 06/07/23 10:12 AM


Resolution


Demande client

Il existe des cas où nous voulons source adresses IP NAT à un pool d'adresses (Dynamic pool) et ne pas effectuer les traductions IP et de port (IP dynamique et le port). Le NAT source fonctionnerait très bien sans problèmes de trafic pour les sources d'origine, jusqu'à ce que le pool IP est épuisé (pas plus d'ip disponible à utiliser pour NAT). Une fois que la piscine est épuisée, toute session pour une nouvelle source d'origine ne sera pas établie et cela provoquera des gouttes de paquets pour ce nouveau trafic.

Résolution

PAN-OS 5,0 a introduit une fonctionnalité appelée «conversion dynamique IP de secours» pour aider à résoudre ce problème. Utilisez cette option pour créer un pool de retombées qui effectuera la traduction IP et port et sera utilisé si le pool principal est à court d'adresses. Les adresses peuvent être définies pour le pool à l'Aide de l'option d'adresse traduite ou de l'option d'adresse d'Interface, qui correspond aux interfaces qui reçoivent une adresse IP dynamiquement. Lors de la création d'un pool de repli, assurez-vous que les adresses ne se chevauchent pas avec les adresses du pool principal. *

Étapes

La méthode de conversion de secours peut être configurée pour utiliser une autre façon de traduire les adresses IP source pour les nouvelles sources d'origine, une fois que le pool est épuisé. Le secours est configuré sous le paramètre "Advanced (Dynamic IP/port repli)", comme suit:

  1. Accédez à l'onglet paquet traduit de la règle de stratégie NAT.
  2. Sélectionnez "adresse traduite" dans la liste déroulante sous "avancé (Dynamic IP/port de secours)"
    adresse nat de secours traduite
  3. Configurer un autre pool d'adresses pour Dynamic IP
  4. Sélectionnez "adresse de l'Interface" dans la liste déroulante sous "avancé (Dynamic IP/port de secours)"
    adresse de l'Interface NAT de secours
  5. Configurer la traduction de port basée sur l'Interface (IP dynamique et port)

Remarque: lors de la création d'un pool de repli, assurez-vous que les adresses ne se chevauchent pas avec les adresses du pool principal.

* Source du guide d'aide > politiques et profils de sécurité > tableau 148. Paramètres de règle NAT (onglet paquet traduit)

propriétaire : Dany
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRMCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language