Configuración de NAT persistente para DIPP
20108
Created On 05/17/23 19:40 PM - Last Modified 05/05/25 17:32 PM
Objective
Para configurar NAT persistente para DIPP (IP dinámica y puerto)
Environment
- Palo Alto Firewalls
- PAN-OS 10.1.6 y superior para la línea de productos VM
- PAN-OS 10.1.7 y superior - Todos los demás cortafuegos
- NAT persistente
Procedure
- Para habilitar NAT persistente para DIPP
>set system setting persistent-dipp enable yes
-
Para deshabilitar NAT persistente para DIPP:
>set system setting persistent-dipp enable no
-
Una vez habilitado o deshabilitado, es necesario reiniciar el sistema
>request restart system
Nota:
- La información se documenta en la Guía de nuevas características de PAN-OS.
- Si se configura alta disponibilidad, repita este procedimiento en el otro par de alta disponibilidad.
Additional Information
- Hay diferentes tipos de NAT de origen, uno de ellos es IP y puerto dinámicos (DIPP).
- Las aplicaciones como VoIP, video y otras que utilizan DIPP pueden requerir el protocolo STUN y mientras que DIPP NAT utiliza un mecanismo NAT simétrico. Esto plantea problemas de compatibilidad con el propio STUN.
- Cuando se habilita NAT persistente para DIPP, el enlace de una dirección IP de origen privado/par de puertos a un par de puertos/direcciones IP de origen públicos (traducidos) específico persiste para las sesiones posteriores que vienen con el mismo par de direcciones IP/puertos de origen original.
- En el ejemplo siguiente se muestran tres sesiones:
- En este ejemplo, la dirección/puerto IP de origen original 10.1.1.5:2966 está enlazada a la dirección/puerto IP de origen traducido 192.168.1.6:1077 en la Sesión 1.
- El mismo enlace es persistente en la sesión 2 y la sesión 3, que tienen la misma dirección IP o puerto de origen original que la sesión 1, pero diferentes direcciones de destino.
- La persistencia del enlace finaliza después de que hayan finalizado todas las sesiones de ese par de direcciones IP y puertos de origen.
- En la sesión 1 del ejemplo, el puerto de destino es 3478, el puerto STUN predeterminado.
- Cuando se habilita NAT persistente para DIPP, se aplica a todas las reglas NAT y NAT64 configuradas posteriormente; Es un escenario global. Los registros del plano de administración o del plano de datos indicarán que se ha habilitado la compatibilidad con NAT DIPP/STUN
- Una vez habilitado/deshabilitado, su configuración está presente durante cualquier evento inesperado de reinicio o actualización/degradación de un FW