An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Paket Tropfen aufgrund der Quelle NAT IP/Port Allocation gesche... - Knowledge Base - Palo Alto Networks
Paket Tropfen aufgrund der Quelle NAT IP/Port Allocation gescheitert
56940
Created On 09/25/18 20:40 PM - Last Modified 06/13/23 02:48 AM
Symptom
Symptome
Firewall lässt erstes SYN-Paket fallen.
Diagnose
Laufshow Counter Global zeigt folgende Zähler Erhöhung
flow_policy_nat 284 1 Drop Flow Session Session Setup: Quelle NAT IP/Port Allokations Fehler
Flow Basic zeigt folgende
Neue Session 5543 zugewiesen. Regel: Index = 4 Name = Test, cfg_pool_idx = 1 cfg_fallback_pool_idx = 0 2018-06-20 22:38:30.473-0700 Debug: pan_flow_nat_setup_session (src/pan_flow_nat. c: 2147): NAT rule: Name = Test_NAT, cfg_pool_idx = 1; Session: Index = 5543, nat_pool_idx = 1 2018-06-20 22:38:30.473-0700 Error: pan_ippool_translate_dynamic (pan_ippool. c:2106): aus IP-Adressen und Quell Häfen- Paket gelöscht, Quelle NAT IP/Port-Zuweisung fehlgeschlagen kann nicht Setup-Sitzung in Egress Vsys- Paket abgeworfen, Session-Setup gescheitert
ippool zeigt immer noch kostenlose Ports an.
> Anzeige laufen ippool
-Regeltyp verwendet VerfügBARE MEM -Größe Verhältnis----------------------------------------------------------------- Test_NAT Dynamic IP/Port 423126 92970 68720 8</c 3 >
Resolution
Die Hauptursache ist, dass der ippool stark genutzt wird (mehr als 80% mit 8X über Abo-Rate).
NAT-Pools funktionieren, indem Sie die Zieladresse Hashing und bestimmte Eimer ausprobieren (je nach Hash-Wert). If es gibt keine freien Einträge, werden wir versuchen, eine einfache Version der Brute-Force-Suche.
Wenn beide scheitern, wird ein Ausfall zurückgegeben.
Das bedeutet, dass wir, auch wenn "Show Running IPPool" noch etwa 9K gratis-Einträge zeigen kann, für einige Destination-IPs (wie Google.com im Web-Browsing), zu denen ein Host bereits viele Sessions hat, keine neue Session zu diesem Ziel aufbauen können. AllerDings könnte es möglich sein, eine neue Session zu einem anderen Reiseziel zu bauen.
Zusätzliche externe IP-Adressen sind erforderlich, um das verfügbare ippool für identische Destinationen zu erweitern.