升级到 PanOS 10.2.8 后,NAT 策略不起作用
36718
Created On 03/26/24 22:21 PM - Last Modified 02/20/25 21:29 PM
Symptom
- 配置的 NAT 地址池未绑定到防火墙上的任何接口。
- 上游路由器显示防火墙 IP 地址的正确 ARP 条目。
- 上游路由器不显示属于 NAT 池的防火墙 IP 地址的任何 ARP 条目,这些地址未绑定到任何防火墙接口。
- ARP 数据包捕获显示来自上游的 ARP 请求被丢弃。 参考如何捕获ARP报文
Environment
- 帕洛阿尔托防火墙
- PAN-OS 10.2.8 及更高版本
- 网络地址转换 (NAT)
Cause
- 在 PAN-OS 10.2.8 中,强制执行 NAT 转换 IP 的 proxy-arp 严格检查。
- 只有当 ARP 请求中的目标 IP 和入口接口 IP 位于同一子网中时,防火墙才会发送 NAT 池 IP 的 ARP 回复。
预期行为:
- NAT 地址池不绑定到任何接口。 下图说明了防火墙对 NAT 地址池中的地址执行代理 ARP 时的行为
- 防火墙为客户端执行源 NAT,将源地址 10.1.1.1 转换为 NAT 池中的地址 192.168.2.2。 转换后的数据包被发送到路由器。
- 对于返回流量,路由器不知道如何到达192.168.2.2(因为该IP只是NAT地址池中的一个地址),因此它向防火墙发送ARP请求。
- 如果地址池地址 192.168.2.2 与出口/入口接口 IP 192.168.2.3/24 位于同一子网中,则防火墙会向路由器发送代理 ARP 回复,指示该 IP 的第 2 层 MAC 地址。
- 如果地址池 IP 不属于固件接口上的子网,则防火墙不会向路由器发送代理 ARP 应答。
Resolution
- 确保 NAT 地址池地址绑定到接口,即与接口 IP 地址位于同一子网中。
- 如果 NAT 池地址不能与接口地址属于同一子网,请在上游路由器中为该地址创建路由。