ソース NAT IP/ポート割り当てによるパケットドロップが失敗しました
46619
Created On 09/25/18 20:40 PM - Last Modified 06/13/23 02:48 AM
Symptom
兆候
ファイアウォールは、最初の SYN パケットを落としている。
診断
show カウンタ global を実行すると、次のカウンタが増加します
flow_policy_nat 284 1 ドロップフローセッションセッションのセットアップ: ソース nat IP/ポート割り当てエラー
フロー基本は以下を示します。
割り当てられた新しいセッション5543。
ルール: インデックス = 4 名 = テスト、cfg_pool_idx = 1 cfg_fallback_pool_idx = 0
2018-06-20 22:38: 30.473-0700 デバッグ: pan_flow_nat_setup_session (src/pan_flow_nat: 2147): nat ルール: 名前 = Test_NAT、cfg_pool_idx = 1;セッション: インデックス = 5543、nat_pool_idx = 1
2018-06-20 22:38: 30.473-0700 エラー: pan_ippool_translate_dynamic (pan_ippool): ip アドレスと送信元ポートのパケットが
削除され、ソース nat IP/ポートの割り当てに失敗しました
セッションをセットアップできません送信 vsys
パケットが削除され、セッションのセットアップに失敗しました
ippool はまだ利用できる自由な港を示す。
> 実行中の ippool
ルールタイプを表示使用可能な Mem サイズ比
-----------------------------------------------------------------
Test_NAT 動的IP/ポート 423126 92970 68720 8</c3 >
Resolution
主な原因は、ippool が多用されている (8 倍速以上の80% 以上のサブスクリプションレート) です。
NAT プールは、宛先アドレスをハッシュし、(ハッシュ値に応じて) 特定のバケットを試行することで機能します。私はf がない無料のエントリは、我々はブルートフォース検索の単純なバージョンをしようとします。
両方とも失敗した場合は、エラーが返されます。
これは、"show 実行中の ippool" がまだ9k の無料のエントリについては、いくつかの宛先 ip (web ブラウジングの google.com のような) は、ホストがすでに多くのセッションがあることを示すことができることを意味、我々はこの宛先に新しいセッションを構築することは ただし、別の宛先に新しいセッションを作成することもできます。
同一の送り先で利用可能な ippool を拡張するには、外部 IP アドレスを追加する必要があります。