Comment vérifier la sursouscription sur une règle NAT
Resolution
Vue d’ensemble
Le nombre maximal de traductions que le pare-feu de Palo Alto Networks peut effectuer lorsqu'une traduction d'adresse de port est configurée, jusqu'à ce qu'il utilise les ports disponibles sur une règle, est d'environ 64000-1000. Les ports inférieurs 1024 ne sont jamais utilisés car ils sont considérés comme des ports de serveurs.
Pour accueillir un plus grand nombre de traductions sur une règle NAT donnée, sur les appareils de Palo Alto Networks PA-3000, PA-4000, PA-5000, et PA-7000 il ya une option pour le surabonnement. Il s'agit d'un paramètre préconfiguré et aucun changement n'est nécessaire sur l'appareil pour l'activer.
Étapes
Pour vérifier le surabonnement sur une règle de sécurité, utilisez la commande suivante:
> Show en cours d'exécution NAT-Rule-ippool règle NAT1
VSYS 1 règle NAT1:
Règle: NAT1, pool index: 1, utilisation de la mémoire: 20336
-----------------------------------------
Taux de surabonnement: 2
Nombre d'allocates: 9327
Dernier index alloué: 54528
La sortie ci-dessus indique qu'une règle de sécurité est sursouscrite deux fois, ce qui correspond à la valeur du périphérique 3050.
Les autres appareils ont un rapport de surabonnement différent. Par exemple, le 5050/5060 a un facteur de 8.
propriétaire : ialeksov