源 NAT 翻译类型和典型用例

概述

以下是可用的源地址转换类型和每个实例的典型用例。

动态 IP 和端口

对于给定的源 ip 地址, 帕洛阿尔托网络防火墙将源 ip 地址或范围转换为单个 ip 地址。映射基于源端口, 因此, 在源端口耗尽之前, 多个源 IPs 可以共享一个已翻译的地址。这是典型的, 只有在多个私有 ip 地址之间共享一个公共 ip 地址。通常选择分配给连接到 ISP 的接口的 IP 地址:

若要向出站池添加更多 IP 地址, 请将地址类型更改为 "已翻译的地址", 并向列表中添加有效的公共 ip。防火墙将根据每个会话从地址池中加载平衡。

使用以下 CLI 命令检查 NAT 池利用率: >> 显示运行全局-ippool

动态 IP

对于给定的源 ip 地址, 防火墙将源 ip 转换为定义的池或区域中的 ip。映射不是基于端口的, 这使得只要会话持续, 这就成为一对一的映射。每个并发会话都使用池中的地址, 使其无法用于其他源 IPs。使用此选项时请注意, 因为如果同时创建出站会话的内部主机数超过动态池中的 IP 地址数, 则可以耗尽已转换的地址池。当 ISP 中有两个或多个公共 IPs 时使用此选项, 但不足以将其分配给网络上的每个内部主机, 并且您希望仅根据需要将它们分配给出站主机。为动态池分配 IP 地址范围是常见的:

要查看给定 nat 策略的当前 nat 池映射, 请运行以下 CLI 命令:

>> 显示运行的 nat 规则-ippool 规则</NAT>

静态 IP

使用此转换类型可以将单个源地址转换为特定的公共地址。这通常用于在外部使用不会更改的翻译地址来公开服务器 (电子邮件、web 或任何应用程序)。

为双向方向选择 "是", 将基于指定的源 \ 目标区域在两个方向上创建映射。如果将双向设置为 "否", 则仅基于源 \ 目标区域的方向创建映射。公开暴露的服务器的静态 NAT 策略通常具有双向设置为 Yes, 因此服务器的出站通信与入站通信使用相同的地址:

使用静态 IP 映射类型将整个地址范围转换为特定的地址范围, 即一对一映射。使用此策略的源 IPs 的数量必须与翻译的范围完全匹配。这通常用于在合并网络时解决重叠的 IP 范围。此处所示的策略将所有源地址转换为10.20.1.x 地址, 并将其指定到公司区域, 以满足10.30.1.x 范围内的匹配地址:

所有者： jteetsel