Details
Um den NAT IP-Pool-Cache anzuzeigen, führen Sie die Show Running ippool- Befehl aus:
> Show Running ippool
VSYS 1 hat 3 NAT-Regeln, DIP und DIPP-Regeln:
Regeltyp verwendet verfügbares MEM
-size-Verhältnis--------------------------------------------------------------------------------
vertrauensWürdigen dynamischen IP/po RT 273 128751 20336 2
Im obigen Beispiel von PAN-OS 7,1 verwendet die NAT-Regel, die nicht vertrauenswürdig ist, derzeit 273 Puffer von 128751 für die NAT-Operation.
Das Verhältnis ist auch als über Abo-Rate bekannt. Das Verhältnis variiert zwischen den Plattformen, wobei es sich um eine PA-200 handelt. Es gibt die Anzahl der Sitzungen von einer Quelle IP und Port-Kombination zu verschiedenen Ziel-IPs, die den gleichen Quell Port in der Übersetzung verwenden können.
Es gibt insgesamt 65536 hohe TCP-Ports. Die ersten 1024 sind reserviert, so dass die Firewall mit 64512 in einer Dipp (Dynamic IP-and-Port) NAT-Regel zur Auswahl steht. Multiplizieren 64512 durch das Verhältnis und das Produkt ist die Gesamtzahl der verfügbaren Ports, das ist 129024, die Summe von 273 und 128751 in der Ausgabe oben.
Um die NAT-Puffer zurückzuerobern, die nur die veralteten Puffer und nicht den aktuellen NAT, der in einer bestehenden Sitzung verwendet wird, reinigt, führen Sie den folgenden Befehl aus:
> Debug dataplane NAT Sync-ippool-Regel<rulename></rulename>
Um den Wert und alle Sitzungen zu löschen, führen Sie folgenden Befehl aus:
> Sitzung alle löschen
Um eine bestimmte Verwendung von NAT-Regel-IP-Pools zu überprüfen, verwenden Sie die Anzeige mit NAT-Rule-ippool-Show-FreeList ja-Regel <NAT-rule-name>Befehl:</NAT-rule-name>
> laufende NAT-Regel-ippool-Show-FreeList ja-Regel vertraut-zu-nicht vertrauenswürdig
VSYS 1 Regel ja:
Regel: vertrauenswürdig-zu-nicht vertrauensWürdig, Pool-Index: 1, Speicherverbrauch: 20336
-----------------------------------------
über Abonnement-Verhältnis: 2
Anzahl der Allokate: 34285
zuletztzugewiesener Index: 1339 < /C9 >
Überzeichnung Verhältnis:
- Gibt die Anzahl der Sitzungen von einer Quelle IP und Port-Kombination zu verschiedenen Destination-IPS an, die den gleichen Quell Port in der Übersetzung verwenden können.