Quelle NAT Übersetzungs Typen und typische AnwendungsFälle

Übersicht

Im folgenden finden Sie die Übersetzungs Typen für die Quelladresse und den typischen Anwendungsfall für jeden.

Dynamic IP und Port

Für eine bestimmte Quelle-IP-Adresse übersetzt die Palo Alto Networks Firewall die Quell-IP-Adresse oder den Bereich an eine einzige IP-Adresse. Die Kartierung basiert auf dem Quellport, so dass mehrere Quell-IPs eine einzige übersetzte Adresse teilen können, bis die Quell Ports ausgeschöpft sind. Dies ist typisch, wenn nur eine einzige öffentliche IP-Adresse unter vielen privaten IP-Adressen geteilt werden soll. Es ist üblich, die IP-Adresse auszuwählen, die der Schnittstelle zugeordnet ist, die mit Ihrem ISP verbunden ist:

Um weitere IP-Adressen in den Outbound-Pool einzufügen, ändern Sie den Adress-Typ in "überSetzte Adresse" und fügen Sie eine gültige öffentliche IP in die Liste ein. Die Firewall wird das Guthaben aus dem Adresspool auf der Grundlage jeder Sitzung laden.

Verwenden Sie den folgenden CLI-Befehl, um die Nutzung des NAT-Pools zu überprüfen: > Show Running Global-ippool

Dynamic IP

Für eine bestimmte Quelle-IP-Adresse übersetzt die Firewall die Quelle-IP in eine IP im definierten Pool oder Bereich. Die Kartierung ist nicht auf Port basiert, was dies zu einer eins-zu-eins-Kartierung macht, solange die Sitzung dauert. Jede gleichzeitige Sitzung verwendet eine Adresse aus dem Pool, so dass Sie nicht für andere Source-IPs verfügbar ist. Seien Sie sich bewusst, wenn Sie diese Option verwenden, denn der übersetzte Pool an Adressen kann erschöpft werden, wenn die Anzahl der internen Hosts, die gleichzeitig ausgehende Sitzungen erstellen, die Anzahl der IP-Adressen im dynamischen Pool übersteigt. Diese Option wird verwendet, wenn es zwei oder mehr öffentliche IPs vom ISP gibt, aber nicht genug, um einen für jeden internen Host im Netzwerk zuzuweisen, und Sie wollen Sie nur nach Bedarf den Outbound-Hosts zuordnen. Es ist üblich, dem dynamischen Pool eine Reihe von IP-Adressen zuzuweisen:

Um die aktuellen NAT-Pool-Mappings für eine bestimmte NAT-Richtlinie zu sehen, führen Sie den folgenden CLI-Befehl aus:

> laufende NAT-Regel-ippool-Regel anzeigen</NAT>

Statische IP

Verwenden Sie diesen Übersetzungs Typ, um eine einzelne Quelladresse an eine bestimmte öffentliche Adresse zu übersetzen. Dies wird typischerweise verwendet, um einen Server (e-Mail, Web oder jede Anwendung) extern mit einer übersetzten Adresse zu entlarven, die sich nicht ändern wird.

Die Auswahl von "Ja" für die bidirektionale erstellt die Kartierung in beide Richtungen auf der Grundlage der angegebenen Quell Zonen. Wenn die Bi-direktionale auf Nein gesetzt ist, dann wird die Kartierung nur auf der Grundlage der Richtung der source\-Zielzonen erstellt. Statische NAT-Richtlinien für öffentlich exponierte Server haben in der Regel eine bidirektionale auf Ja gesetzt, so dass der ausgehende Traffic für den Server die gleiche Adresse wie der Inbound-Traffic verwendet:

Verwenden Sie den statischen IP-Mapping-Typ, um einen ganzen Adressbereich in einen bestimmten Adressbereich zu übersetzen, ein eins-zu-eins-Mapping. Die Anzahl der Quell-IPs, die diese Richtlinie verwenden, muss genau dem übersetzten Bereich entsprechen. Dies wird typischerweise verwendet, um überlappende IP-Bereiche bei der Verschmelzung von Netzen zu lösen Die hier gezeigte Richtlinie übersetzt alle Quelladressen mit der 10.20.1. x-Adresse, die für die Corp-Zone bestimmt ist, an eine passende Adresse im 10.30.1. x-Bereich:

Besitzer: Jteetsel