NAT 規則に対しオーバー サブスクリプションを確認する方法
45563
Created On 09/26/18 13:50 PM - Last Modified 06/12/23 08:42 AM
Resolution
概要
ポートアドレス変換が構成されているときにパロアルトネットワークファイアウォールが実行できる翻訳の最大数は、ルールで利用可能なポートを使用するまで 64000-1000 程度です。下位の1024ポートは、サーバーのポートと見なされるため、使用されません。
特定の NAT ルール上の翻訳の大きな数に対応するために、パロアルトネットワークデバイスの pa-3000、pa-4000、pa-5000、および pa-7000 にオーバーサブスクリプションのためのオプションがあります。これは構成済みの設定であり、デバイスで有効にするための変更は必要ありません。
手順
セキュリティ規則のオーバーサブスクリプションを確認するには、次のコマンドを使用します。
> 実行中の nat ルール-ippool ルールの表示 nat1
VSYS 1 ルール nat1:
ルール: nat1, プールインデックス: 1, メモリ使用量: 20336
-----------------------------------------
オーバーサブスクリプション比: 2
割り当て数: 9327
最後に割り当てられたインデックス: 54528
上記の出力は、セキュリティ規則が2回超過、3050デバイスの値であることを示します。
その他のデバイスは、オーバーサブスクリプションの比率が異なります。たとえば、5050/5060 には8の係数があります。
所有者: ialeksov