Gewusst wie: überprüfen die Überzeichnung auf eine NAT-Regel

Übersicht

Die maximale Anzahl von Übersetzungen, die die Palo Alto Networks Firewall ausführen kann, wenn eine Übersetzung der Port Adresse konfiguriert ist, bis Sie die verfügbaren Ports auf einer Regel verbraucht, liegt bei etwa 64000-1000. Die unteren 1024-Ports werden nie verwendet, weil Sie als Server-Ports gelten.

Um für eine größere Anzahl von Übersetzungen auf einer bestimmten NAT-Regel unterzubringen, gibt es auf Palo Alto Networks-Geräten PA-3000, PA-4000, PA-5000 und PA-7000 eine Option zur Überzeichnung. Dies ist eine vorkonfigurierte Einstellung, und es ist keine Änderung am Gerät erforderlich, um es zu aktivieren.

Schritte

Um eine Überzeichnung auf einer Sicherheitsregel zu überprüfen, verwenden Sie den folgenden Befehl:

> Show Running NAT-Regel-ippool Rule NAT1

Vsys 1 Regel NAT1:

Regel: NAT1, Pool-Index: 1, Speicherverbrauch: 20336

-----------------------------------------

Überzeichnungs Verhältnis: 2

Anzahl der allokate: 9327

Letzter zugewiesener Index: 54528

Die obige Ausgabe zeigt an, dass eine Sicherheitsregel zweimal überzeichnet ist, was der Wert auf dem 3050-Gerät ist.

Die anderen Geräte haben ein anderes Verhältnis der Überzeichnung. Zum Beispiel haben die 5050/5060 einen Faktor von 8.

Besitzer: Ialeksov