La chute du paquet en raison de l'allocation IP/port NAT source a échoué
La chute du paquet en raison de l'allocation IP/port NAT source a échoué
46621
Created On 09/25/18 20:40 PM - Last Modified 06/13/23 02:48 AM
Symptom
Symptômes
Le pare-feu abandonne le paquet SYN initial.
Diagnostic
En cours d'Exécution Show Counter global montre le compteur suivant augmentant
flow_policy_nat 284 1 session de session Drop Flow Setup: source NAT IP/erreur d'allocation de port
Flow Basic affiche les
Alloué la nouvelle session 5543. Règle: index = 4 name = test, cfg_pool_idx = 1 cfg_fallback_pool_idx = 0 2018-06-20 22:38:30.473-0700 Debug: pan_flow_nat_setup_session (SRC/pan_flow_nat. c: 2147): NAT Rule: Name = Test_NAT, cfg_pool_idx = 1; Session: index = 5543, nat_pool_idx = 1 2018-06-20 22:38:30.473-0700 erreur: pan_ippool_translate_dynamic (pan_ippool. c:2106): hors des adresses IP et le paquet de ports source a chuté, source NAT IP/port d'allocation échoué ne peut pas configurer la session dans sortie VSys paquet supprimé, l'installation de session a échoué
ippool affiche toujours les ports libres disponibles.
> afficher Running ippool
type de règle utilisé disponible MEM Size ratio ----------------------------------------------------------------- Test_NAT Dynamic IP/port423126 92970 68720 8</c 3 >
Resolution
La cause principale est le ippool est fortement utilisé (plus de 80% avec 8x taux de surabonnement).
Les pools NAT fonctionnent en hashant l'adresse de destination et en essayant des seaux spécifiques (en fonction de la valeur de hachage). If il n'y a pas d'entrées gratuites, nous allons tenter une version simple de la recherche de la force brute.
Si les deux échouent, un échec sera retourné.
Cela signifie que même si "Show running ippool" peut encore afficher sur 9k entrées gratuites, pour certains IPs destination (comme Google.com dans la navigation Web) qu'un hôte a déjà de nombreuses sessions à, nous ne pouvons pas construire une nouvelle session à cette destination. Toutefois, il peut être possible de construire une nouvelle session vers une destination différente.
D'Autres adresses IP externes sont nécessaires pour étendre les ippool disponibles pour des destinations identiques.