如果已耗尽动态 IP 池, 如何配置回退 NAT

问题

有些情况下, 我们希望将 NAT IP 地址源到地址池 (动态池), 而不执行 IP 和端口转换 (动态 ip 和端口)。源 NAT 可以正常工作, 且不存在源代码的通信问题, 直到 ip 池耗尽 (没有更多的 ip 可用于 NAT)。池耗尽后, 将不会建立新的起始源的任何会话, 这将导致此新通信量的数据包下降。

解决办法

PAN OS 5.0 引入了一个名为 "后备动态 IP 转换" 的功能, 以帮助解决此问题。使用此选项可以创建将执行 IP 和端口转换的回退池, 如果主池的地址耗尽, 将使用此功能。可以通过使用 "翻译地址" 选项或 "接口地址" 选项为池定义地址, 它用于动态接收 IP 地址的接口。创建回退池时, 请确保地址与主池中的地址不重叠。

步骤

一旦池耗尽, 可将回退转换方法配置为使用备用方法来转换新源源 IP 地址。回退是在 "高级 (动态 IP/端口回退)" 设置下配置的, 如下所示:

1. 转到 NAT 策略规则的 "已翻译的数据包" 选项卡。
2. 在 "高级 (动态 IP/端口回退)" 下的下拉列表中选择 "已翻译的地址"
   
3. 为动态 IP 配置另一个地址池
4. 在 "高级 (动态 IP/端口回退)" 下的下拉列表中选择 "接口地址"
   
5. 配置基于接口的端口转换 (动态 IP 和端口)
   
   

注意: 创建回退池时, 请确保地址与主池中的地址不重叠.

* 来自帮助指南 > 策略和安全配置文件 > 表148。NAT 规则设置 (已翻译的数据包选项卡)

所有者： kprakash