如何为 DIPP 配置持久性 NAT

• 帕洛阿尔托防火墙
• 适用于 VM 产品线的 PAN-OS 10.1.6 及更高版本
• PAN-OS 10.1.7 及更高版本 - 所有其他防火墙
• 持久性 NAT

1. 为 DIPP 启用持久性 NAT

>set system setting persistent-dipp enable yes

2. 要禁用 DIPP 的持久 NAT，请执行以下操作：

>set system setting persistent-dipp enable no

3. 启用或禁用后，需要重新启动系统

>request restart system

注意：

• 该信息记录在 PAN-OS 新功能指南中。
• 如果配置了 HA，请在另一个 HA 对等体上重复此过程。

• 有不同类型的源 NAT，其中一种是动态 IP 和端口 （DIPP）。
• VoIP、视频和其他使用 DIPP 的应用可能需要 STUN 协议，而 DIPP NAT 使用对称 NAT 机制。 这带来了与 STUN 本身的兼容性问题。
• 启用 DIPP 的持久性 NAT 后，专用源 IP 地址/端口对与特定公共（转换）源 IP 地址/端口对的绑定对于使用相同原始源 IP 地址/端口对传入的后续会话将保持不变。
• 以下示例显示了三个会话：

• 在本示例中，原始源 IP 地址/端口 10.1.1.5：2966 绑定到会话 1 中转换后的源 IP 地址/端口 192.168.1.6：1077。
• 相同的绑定在会话 2 和会话 3 中是持久的，它们与会话 1 具有相同的原始源 IP 地址/端口，但目标地址不同。
• 在该源 IP 地址/端口对的所有会话结束后，绑定的持久性结束。
• 在示例的会话 1 中，目标端口为 3478，即默认 STUN 端口。
• 启用 DIPP 的持久性 NAT 后，它适用于随后配置的所有 NAT 和 NAT64 规则;这是一个全局设置。 管理平面或数据平面日志将指示已启用 NAT DIPP/STUN 支持
• 启用/禁用后，在固件的任何意外重新启动或升级/降级事件期间，其配置都会存在