Error al colocar el paquete debido a la asignación IP/puerto de origen NAT
Error al colocar el paquete debido a la asignación IP/puerto de origen NAT
46617
Created On 09/25/18 20:40 PM - Last Modified 06/13/23 02:48 AM
Symptom
Síntomas de
Firewall está soltando el paquete SYN inicial.
Diagnóstico
Ejecutar mostrar contador global muestra el siguiente contador de aumento
flow_policy_nat 284 1 configuración de sesión de sesión de flujo de caída: origen NAT IP/puerto error de asignación
El flujo básico muestra lo siguiente
Asignada nueva sesión 5543. Regla: index = 4 Name = test, cfg_pool_idx = 1 cfg_fallback_pool_idx = 0 2018-06-20 22:38:30.473-0700 Debug: pan_flow_nat_setup_session (src/pan_flow_nat. c: 2147): NAT Rule: Name = Test_NAT, cfg_pool_idx = 1; Session: index = 5543, nat_pool_idx = 1 2018-06-20 22:38:30.473-0700 error: pan_ippool_translate_dynamic (pan_ippool. c:2106): fuera de las direcciones IP y el paquete de los puertos de origen , la asignación de origen de IP/puerto NAT no puede configurar la sesión en salida vsys paquete caído, error de configuración de sesión
ippool todavía muestra los puertos gratuitos disponibles.
> Mostrar ejecutar ippool
tipo de regla utilizado disponible MEM size ratio ----------------------------------------------------------------- Test_NAT IP/puerto dinámico423126 92970 68720 8</c 3 >
Resolution
La causa principal es que el ippool se utiliza en gran medida (más del 80% con la tasa de suscripción de 8X).
Las agrupaciones NAT funcionan mediante el algoritmo hash de la dirección de destino y el intento de cubos específicos (dependiendo del valor hash). If no hay entradas gratuitas, vamos a intentar una versión simple de la fuerza bruta de búsqueda.
Si ambos fallan, se devolverá un fallo.
Esto significa que a pesar de que "show Running ippool" todavía puede mostrar acerca de 9K entradas gratuitas, para algunos IPS de destino (como Google.com en la navegación web) que un host ya tiene muchas sesiones a, no podemos construir una nueva sesión a este destino. Sin embargo, puede ser posible construir una nueva sesión en un destino diferente.
Se requieren direcciones IP externas adicionales para expandir el ippool disponible para destinos idénticos.