Cómo comprobar la sobresuscripción en una regla NAT
Resolution
Resumen
El número máximo de traducciones que el cortafuegos de Palo Alto Networks puede realizar cuando se configura una traducción de direcciones de puerto, hasta que utiliza los puertos disponibles en una regla, es de alrededor de 64000-1000. Los puertos inferiores de 1024 nunca se utilizan porque se consideran puertos de servidores.
Para dar cabida a un mayor número de traducciones sobre una determinada regla de NAT, en los dispositivos PA-3000, PA-4000, PA-5000 y PA-7000 de Palo Alto Networks hay una opción para sobresuscripción. Se trata de un ajuste preconfigurado y no se necesita ningún cambio en el dispositivo para habilitarlo.
Pasos
Para comprobar si hay sobresuscripción en una regla de seguridad, utilice el siguiente comando:
> Mostrar ejecutando NAT-Rule-ippool regla NAT1
VSYS 1 regla NAT1:
Regla: NAT1, índice de la piscina: 1, uso de la memoria: 20336
-----------------------------------------
Cociente de la sobresuscripción: 2
Número de allocations: 9327
Último índice asignado: 54528
La salida anterior indica que una regla de seguridad está sobresuscrita dos veces, que es el valor del dispositivo 3050.
Los otros dispositivos tienen una proporción diferente de sobresuscripción. Por ejemplo, el 5050/5060 tiene un factor de 8.
Propietario: ialeksov