Comment configurer le NAT persistant pour DIPP
20112
Created On 05/17/23 19:40 PM - Last Modified 05/05/25 17:32 PM
Objective
Pour configurer le NAT persistant pour DIPP (adresse IP et port dynamiques)
Environment
- Pare-feu Palo Alto
- PAN-OS 10.1.6 et versions ultérieures pour la gamme de produits VM
- PAN-OS 10.1.7 et versions ultérieures - Tous les autres pare-feu
- NAT persistant
Procedure
- Pour activer le NAT persistant pour DIPP
>set system setting persistent-dipp enable yes
-
Pour désactiver le NAT persistant pour DIPP :
>set system setting persistent-dipp enable no
-
Une fois activé ou désactivé, un redémarrage du système est nécessaire
>request restart system
Remarque :
- Les informations sont documentées dans le Guide des nouvelles fonctionnalités de PAN-OS.
- Si HA est configuré, répétez cette procédure sur l’autre homologue HA.
Additional Information
- Il existe différents types de NAT source, l’un d’entre eux étant l’IP et le port dynamiques (DIPP).
- Des applications telles que la VoIP, la vidéo et d’autres utilisant DIPP peuvent nécessiter le protocole STUN et tandis que DIPP NAT utilise un mécanisme NAT symétrique. Cela pose des problèmes de compatibilité avec STUN lui-même.
- Lorsque le NAT persistant pour DIPP est activé, la liaison d’une paire adresse IP/port source privée à une paire adresse IP/port source publique (traduite) spécifique est conservée pour les sessions suivantes qui arrivent avec la même paire adresse IP/port source d’origine.
- L’exemple suivant montre trois sessions :
- Dans cet exemple, l’adresse IP/port source d’origine 10.1.1.5 :2966 est lié à l’adresse/port source traduit 192.168.1.6 :1077 dans la session 1.
- La même liaison est persistante dans la session 2 et la session 3, qui ont la même adresse IP/port source d’origine que la session 1, mais des adresses de destination différentes.
- La persistance de la liaison prend fin après la fin de toutes les sessions pour cette paire adresse IP/port source.
- Dans la session 1 de l’exemple, le port de destination est 3478, le port STUN par défaut.
- Lorsque le NAT persistant pour DIPP est activé, il s’applique à toutes les règles NAT et NAT64 configurées ultérieurement ; Il s’agit d’un cadre mondial. Les journaux du plan de gestion ou du plan de données indiquent que la prise en charge NAT DIPP/STUN a été activée
- Une fois activé/désactivé, sa configuration est présente lors d'un redémarrage inattendu ou d'un événement de mise à niveau/rétrogradation d'un micrologiciel