我相信我知道我的困境的答案,但想选择 NetworkStackExchange 社区大脑。
我们目前使用 Palo Alto 安全设备为我们有一个对等交换点的附属机构执行两次 NAT'ing,他们的设备是进入路由器的直腿。我们进行了两次 NAT,使他们更容易在他们的网络中分配一个可路由的子网以到达我们的网络,反之亦然。重叠子网的问题即将出现,我们目前遇到了问题,因为我们使用单个安全设备来执行 NAT。我认为这个问题是因为安全设备根据 Palo Alto 的理解和配置 NAT 中的文档在 NAT 之前做出路由决策。
我的问题是解决重叠 IP 的唯一方法是在两台设备上为每一侧做源 NAT 吗?
谢谢,
因此,如果我像下面的描述一样启动 ICMP ping,我会看到回声回复被路由回它进入的同一接口。
我建议您打印本文档的第 4 页,因为它是一个方便的故障排除工具。
关于帕洛阿尔托的数据包流,请查看此 grahp。
在您的情况下,兴趣点可以总结为:
我的问题是解决重叠 IP 的唯一方法是在两台设备上为每一侧做源 NAT 吗?
我们必须了解您的网络才能提出不同的方法。也许您可以使用 PBF 获得相同的结果。
无论如何,我认为 NAT 是最好的方法。在这种情况下,我总是在其中一个对等点中使用 2 规则 NAT(或在较旧的 PANOS 版本中使用自反策略)。使用 NAT 有什么问题?
编辑1:
我以为你只是在双方都有重叠的网络,但只有一个网络想要与另一个对等方通信。实际情况是您有重叠,并且您希望在两个重叠网络之间进行通信。这是一个与 IP 相关的问题,而不是 Palo Alto。
在这种特殊情况下,我无法想象除了调整目标 IP 并在 Palo Alto 设备中进行 NAT 之外的其他解决方案。或者很明显,您始终可以更改两个重叠网络之一上的 IP 地址:)。
如果路由决定是预 NAT,那么我认为它应该有效。(就像你在 ping 图上一样)。如果 ping 在它进入的同一接口上退出,那是因为路由是在 NAT 之后执行的。当对方也发起 ping 时,你有同样的结果吗?
我看到这篇文章已经很老了,你可能已经找到了答案。但这是我对这类事情的解决方案。
按照您的设计进行双重 NAT。但是,要使其工作,您需要创建两个虚拟路由器并将每一侧的接口分配给不同的 VR,然后配置 NAT。它有效,我已经做过很多次了。