動的 IP プールが使い果たされた場合にフォールバック NAT を構成する方法
Resolution
問題
NAT ip アドレスをアドレスプール (動的プール) に送信し、ip とポートの変換 (動的 ip とポート) を実行しない場合があります。送信元の nat は、ip プールが使い果たされるまで、発信元のトラフィックの問題がなくても正常に動作します (nat に使用できる ip はこれ以上ありません)。プールが使い果たされると、新しい発信元ソースのセッションは確立されず、この新しいトラフィックのパケットが破棄されます。
解決方法
PAN-OS 5.0 は、この問題を解決するために "フォールバック動的 IP 変換" と呼ばれる機能を導入しました。このオプションを使用して、IP およびポートの変換を実行するフォールバックプールを作成し、プライマリプールでアドレスが不足した場合に使用します。アドレスをプールに対して定義するには、[変換されたアドレス] オプションまたは [インターフェイスアドレス] オプション (IP アドレスを動的に受け取るインターフェイス) を使用します。フォールバックプールを作成するときは、プライマリプール内のアドレスと重複しないアドレスを確認してください。
手順
フォールバック変換メソッドは、プールが使い果たされると、新しい元のソースのソース IP アドレスを変換する別の方法を使用するように構成できます。フォールバックは、次のように [高度な (動的 IP/ポートフォールバック)] 設定で構成されます。
- NAT ポリシールールの [変換されたパケット] タブに移動します。
- 「高度な (動的 IP/ポートフォールバック)」の下のドロップダウンで「翻訳済みアドレス」を選択します。
- 動的 IP 用に別のアドレスプールを構成する
- 「高度な (動的 IP/ポートフォールバック)」の下のドロップダウンで「インターフェイスアドレス」を選択します。
- インターフェイスベースのポート変換を構成する (動的 IP とポート)
メモ: フォールバックプールを作成するときは、プライマリプール内のアドレスとアドレスが重複していないことを確認してください。
* [ヘルプガイド] > [ポリシーとセキュリティプロファイル] > [表 148] から供給されます。NAT 規則の設定 ([変換されたパケット] タブ)
所有者: kprakash