À propos des Adresses IP Source du NAT Dynamique
Dans la configuration par défaut de traduction d'adresses réseau dynamique, le Firebox change l'adresse IP source du trafic sortant d'une interface externe en l'adresse IP principale de l'interface externe d'où le trafic sort. Vous pouvez également configurer la traduction d'adresse réseau dynamique pour qu'elle utilise une adresse IP source différente. Vous pouvez définir l'adresse IP source de la traduction d'adresses réseau dynamique dans une règle de réseau NAT ou dans les paramètres NAT d'une stratégie. Lorsque vous sélectionnez une adresse IP source, la traduction d'adresses réseau dynamique utilise l'adresse IP source spécifiée pour tout trafic qui correspond à la règle ou stratégie de traduction d'adresses réseau dynamique.
Que vous spécifiiez l'adresse IP source dans une règle de traduction d'adresses réseau dynamique ou dans une stratégie, il est important que l'adresse IP source soit sur le même sous-réseau que l'adresse IP principale ou secondaire de l'interface depuis laquelle le trafic est envoyé. Dans Fireware v12.2 et les versions ultérieures, vous pouvez également spécifier des adresses IP appartenant au sous-réseau de l'adresse IP principale ou secondaire de l'interface de bouclage. Il est également important de s'assurer que le trafic auquel la règle s'applique ne sorte que d'une seule interface.
Si l'adresse IP source du NAT dynamique n'appartient pas au sous-réseau de l'adresse IP principale ou secondaire de l'interface de sortie de ce trafic ou de l'adresse IP principale ou secondaire de l'interface de bouclage de Fireware v12.2 ou une version ultérieure, le Firebox ne remplace pas l'adresse IP source de chaque paquet par l'adresse IP source spécifiée dans la règle NAT dynamique. Il change plutôt l'adresse IP source pour l'adresse IP principale de l'interface de laquelle le paquet est envoyé.
Définir l'Adresse IP Source de NAT Dynamique dans une Règle de NAT Réseau Dynamique
Si vous voulez définir l'adresse IP source du trafic qui correspond à une règle de traduction d'adresses réseau dynamique, indépendamment de toute stratégie qui s'applique au trafic, ajoutez une règle de traduction d'adresses réseau dynamique qui spécifie l'adresse IP source. L'adresse IP source que vous spécifiez doit être sur le même sous-réseau que l'adresse IP principale ou secondaire de l'interface d'où sort le trafic. Dans Fireware v12.2 et les versions ultérieures, vous pouvez également spécifier des adresses IP appartenant au sous-réseau de l'adresse IP principale ou secondaire de l'interface de bouclage.
Si l'emplacement À dans la règle de traduction d'adresses réseau dynamique spécifie un alias, tel que Tout-Externe, qui comprend plus d'une interface, l'adresse IP source est uniquement utilisée pour le trafic qui quitte une interface dont l'adresse IP est située sur le même sous-réseau que l'adresse IP source.
Par exemple, si :
- Votre Firebox a deux interfaces externes Eth0 (203.0.113.2) et Eth1 (192.0.2.2).
- Vous créez une règle de traduction d'adresses réseau dynamique de tout le trafic pour Tout-Externe.
- Dans la règle de traduction d'adresses réseau dynamique, vous définissez comme adresse IP source 203.0.113.80.
Le résultat est :
- Pour le trafic qui quitte Eth0, l'adresse IP source est l'adresse IP dans la règle de traduction d'adresses réseau dynamique : 203.0.113.80.
- Pour le trafic qui quitte Eth1, l'adresse IP source est l'adresse IP de l'interface Eth1 : 192.0.2.2.
Pour plus d'informations, consultez Ajouter des Règles de Traduction d'Adresses Réseau (NAT) Dynamique.
Définir l'Adresse IP Source de NAT Dynamique dans une Stratégie
Si vous voulez définir l'adresse IP source pour le trafic géré par une stratégie spécifique, configurez l'adresse IP source dans les paramètres réseau de la stratégie. L'adresse IP source que vous spécifiez doit être sur le même sous-réseau que l'adresse IP principale ou secondaire de l'interface que vous avez indiquée pour le trafic sortant dans la stratégie. Dans Fireware v12.2 et les versions ultérieures, vous pouvez également spécifier des adresses IP appartenant au sous-réseau de l'adresse IP principale ou secondaire de l'interface de bouclage.
Il est recommandé de ne pas utiliser l'option Définir l'adresse IP source dans une stratégie si vous avez plusieurs interfaces externes configurées sur votre Firebox. Si vous utilisez l'option Définir l'adresse IP source dans une stratégie, n'activez pas le routage SD-WAN ou routage basé sur stratégie avec basculement dans les paramètres de la stratégie.
Pour plus d'informations, consultez Configurer la Traduction d'Adresses Réseau (NAT) pour une Stratégie.