Konfigurieren von persistenter NAT für DIPP

Konfigurieren von persistenter NAT für DIPP

20130
Created On 05/17/23 19:40 PM - Last Modified 05/05/25 17:32 PM


Objective


So konfigurieren Sie persistente NAT für DIPP (dynamische IP und Port)

Environment


  • Palo Alto Firewalls
  • PAN-OS 10.1.6 und höher für VM-Produktlinie
  • PAN-OS 10.1.7 und höher - Alle anderen Firewalls
  • Persistente NAT

Procedure


  1. So aktivieren Sie die persistente NAT für DIPP
>set system setting persistent-dipp enable yes

  1. So deaktivieren Sie Persistent NAT für DIPP:

>set system setting persistent-dipp enable no

  1. Nach der Aktivierung oder Deaktivierung ist ein Neustart des Systems erforderlich

>request restart system

Hinweis:

  • Die Informationen sind im PAN-OS New Features Guide dokumentiert.
  • Wenn HA konfiguriert ist, wiederholen Sie diesen Vorgang auf dem anderen HA-Peer.

Additional Information


  • Es gibt verschiedene Arten von Quell-NAT, eine davon ist Dynamic IP and Port (DIPP).
  • Anwendungen wie VoIP, Video und andere, die DIPP verwenden, können das STUN-Protokoll erfordern, während DIPP NAT einen symmetrischen NAT-Mechanismus verwendet. Dies führt zu Kompatibilitätsproblemen mit STUN selbst.
  • Wenn persistente NAT für DIPP aktiviert ist, bleibt die Bindung eines privaten Quell-IP-Adresse/Port-Paars an ein bestimmtes öffentliches (übersetztes) Quell-IP-Adresse/Port-Paar für nachfolgende Sitzungen bestehen, die mit demselben ursprünglichen Quell-IP-Adresse/Port-Paar eingehen.
  • Das folgende Beispiel zeigt drei Sitzungen:
Bild.png
 
  • In diesem Beispiel ist die ursprüngliche Quell-IP-Adresse/Port 10.1.1.5:2966 an die übersetzte Quell-IP-Adresse/Port 192.168.1.6:1077 in Sitzung 1 gebunden.
  • Die gleiche Bindung ist in Sitzung 2 und Sitzung 3 persistent, die die gleiche ursprüngliche Quell-IP-Adresse/den gleichen Port wie Sitzung 1, aber unterschiedliche Zieladressen haben.
  • Die Persistenz der Bindung endet, nachdem alle Sitzungen für dieses Quell-IP-Adress-/Port-Paar beendet wurden.
  • In Sitzung 1 des Beispiels ist der Zielport 3478, der Standard-STUN-Port .
  • Wenn persistentes NAT für DIPP aktiviert ist, gilt es für alle NAT- und NAT64-Regeln, die anschließend konfiguriert werden. Es ist ein globales Setting. Protokolle der Verwaltungs- oder Datenebene zeigen an, dass die NAT-DIPP/STUN-Unterstützung aktiviert wurde
  • Nach dem Aktivieren/Deaktivieren ist die Konfiguration bei einem unerwarteten Neustart oder Upgrade-/Downgrade-Ereignis einer Firmware vorhanden
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kHuECAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language