Types de traduction NAT source et cas d'Utilisation typiques
Resolution
Vue d’ensemble
Voici les types de traduction d'adresses source disponibles et le cas d'utilisation typique pour chacun.
IP et port dynamiques
Pour une adresse IP source donnée, le pare-feu de Palo Alto Networks traduit l'adresse IP source ou la plage en une seule adresse IP. Le mappage est basé sur le port source, de sorte que plusieurs IPS source peuvent partager une seule adresse traduite jusqu'à ce que les ports sources aient été épuisés. Ceci est typique lorsque vous n'avez qu'une seule adresse IP publique à partager entre plusieurs adresses IP privées. Il est courant de choisir l'adresse IP attribuée à l'interface qui se connecte à votre FAI:
Pour ajouter d'autres adresses IP au pool sortant, remplacez le type d'adresse par «adresse traduite» et ajoutez une propriété intellectuelle publique valide à la liste. Le pare-feu chargera l'équilibrage du pool d'adresses en fonction de chaque session.
Utilisez la commande CLI suivante pour vérifier l'utilisation du pool NAT: > Afficher Running global- ippool
IP dynamique
Pour une adresse IP source donnée, le pare-feu traduit l'adresse IP source en IP dans le pool ou la plage défini. Le mappage n'est pas basé sur le port, ce qui en fait un mappage un-à-un aussi longtemps que la session dure. Chaque session simultanée utilise une adresse du pool, ce qui le rend indisponible à d'autres IPS source. Soyez conscient lors de L'utilisation de cette option, car le pool d'adresses traduit peut être épuisé si le nombre d'hôtes internes créant simultanément des sessions sortantes dépasse le nombre d'adresses IP dans le pool dynamique. Cette option est utilisée Lorsqu'il y a deux ou plusieurs IPS publiques du FAI, mais pas assez pour allouer un à chaque hôte interne sur le réseau et que vous souhaitez les affecter aux hôtes sortants uniquement si nécessaire. Il est courant d'assigner une plage d'adresses IP au pool dynamique:
Pour afficher les mappages de pool NAT actuels pour une stratégie NAT donnée, exécutez la commande CLI suivante:
> afficher l'exécution de nat-Rule-Règle ippool</NAT>
IP statique
Utilisez ce type de traduction pour traduire une adresse source unique en une adresse publique spécifique. Ceci est généralement utilisé pour exposer un serveur (email, Web ou toute application) à l'extérieur à l'Aide d'une adresse traduite qui ne changera pas.
La sélection de "Yes" pour le bi-directionnel crée le mappage dans les deux directions en fonction des zones source\destination spécifiées. Si bi-directionnel est défini sur non, le mappage est créé en fonction uniquement de la direction des zones source\destination. Les stratégies NAT statiques pour les serveurs exposés publiquement ont généralement un jeu bidirectionnel sur Yes, de sorte que le trafic sortant pour le serveur utilise la même adresse que le trafic entrant:
Utilisez le type de mappage IP statique pour convertir une plage d'adresses entière en une plage d'adresses spécifique, un mappage un-à-un. Le nombre d'adresses IP source à l'Aide de cette stratégie doit correspondre exactement à la plage traduite. Il est généralement utilisé pour résoudre les plages d'adresses IP qui se chevauchent lors de la fusion de réseaux. La stratégie illustrée ici traduit toutes les adresses source avec à l'adresse 10.20.1. x destinée à la zone Corp à une adresse correspondante dans la plage 10.30.1. x:
propriétaire : jteetsel