Tipos de traducción NAT de origen y casos de uso típicos

Resumen

A continuación se ofrecen los tipos de traducción de direcciones de origen y el caso de uso típico de cada uno.

IP y Puerto dinámicos

Para una dirección IP de origen determinada, el cortafuegos de Palo Alto Networks traduce la dirección IP de origen o el rango a una única dirección IP. La asignación se basa en el puerto de origen, por lo que múltiples IPS de origen pueden compartir una sola dirección traducida hasta que los puertos de origen se hayan agotado. Esto es típico cuando sólo tiene una única dirección IP pública que debe compartirse entre muchas direcciones IP privadas. Es común elegir la dirección IP asignada a la interfaz que se conecta a su ISP:

Para agregar más direcciones IP al grupo saliente, cambie el tipo de dirección a "dirección traducida" y añada una IP pública válida a la lista. El cortafuegos cargará el saldo de la agrupación de direcciones basándose en cada sesión.

Utilice el siguiente comando CLI para comprobar la utilización de la agrupación NAT: > Mostrar ejecutar global-ippool

IP dinámica

Para una dirección IP de origen determinada, el cortafuegos traduce la IP de origen a una IP en el grupo o rango definido. La asignación no se basa en el puerto, lo que hace que sea una asignación uno a uno, siempre y cuando dure la sesión. Cada sesión concurrente utiliza una dirección de la agrupación, por lo que no está disponible para otras IPS de origen. Tenga en cuenta al utilizar esta opción, ya que el grupo de direcciones traducidos se puede agotar si el número de hosts internos que crea concurrentemente sesiones salientes excede el número de direcciones IP en el pool dinámico. Esta opción se utiliza cuando hay dos o más IPS públicas del ISP, pero no lo suficiente como para asignar uno a cada host interno de la red, y desea asignarlos a los hosts salientes sólo cuando sea necesario. Es común asignar una gama de direcciones IP al pool dinámico:

Para ver las asignaciones de agrupaciones NAT actuales para una directiva NAT dada, ejecute el siguiente comando CLI:

> Mostrar ejecutando NAT-regla-regla ippool</NAT>

IP estática

Utilice este tipo de traducción para traducir una sola dirección de origen a una dirección pública específica. Esto se utiliza típicamente para exponer un servidor (correo electrónico, web o cualquier aplicación) externamente utilizando una dirección traducida que no cambiará.

La selección de "Yes" para bi-direccional crea la asignación en ambas direcciones basándose en las zonas source\destination que se especifican. Si bi-direccional se establece en no, entonces la asignación se crea basándose sólo en la dirección de las zonas source\destination. Las directivas NAT estáticas para servidores expuestos públicamente suelen tener un conjunto bidireccional en Yes, por lo que el tráfico saliente del servidor utiliza la misma dirección que el tráfico entrante:

Utilice el tipo de asignación de IP estática para traducir un rango de direcciones completo a un intervalo de direcciones específico, una asignación uno a uno. El número de IPS de origen que utilicen esta Directiva debe coincidir exactamente con el intervalo traducido. Normalmente se utiliza para resolver intervalos de IP superpuestos al fusionar redes. La Directiva que se muestra aquí traduce todas las direcciones de origen con la dirección 10.20.1. x destinada a la zona Corp a una dirección coincidente en el rango 10.30.1. x:

Propietario: jteetsel