NAT 規則に対しオーバー サブスクリプションを確認する方法

概要

ポートアドレス変換が構成されているときにパロアルトネットワークファイアウォールが実行できる翻訳の最大数は、ルールで利用可能なポートを使用するまで 64000-1000 程度です。下位の1024ポートは、サーバーのポートと見なされるため、使用されません。

特定の NAT ルール上の翻訳の大きな数に対応するために、パロアルトネットワークデバイスの pa-3000、pa-4000、pa-5000、および pa-7000 にオーバーサブスクリプションのためのオプションがあります。これは構成済みの設定であり、デバイスで有効にするための変更は必要ありません。

手順

セキュリティ規則のオーバーサブスクリプションを確認するには、次のコマンドを使用します。

> 実行中の nat ルール-ippool ルールの表示 nat1

VSYS 1 ルール nat1:

ルール: nat1, プールインデックス: 1, メモリ使用量: 20336

-----------------------------------------

オーバーサブスクリプション比: 2

割り当て数: 9327

最後に割り当てられたインデックス: 54528

上記の出力は、セキュリティ規則が2回超過、3050デバイスの値であることを示します。

その他のデバイスは、オーバーサブスクリプションの比率が異なります。たとえば、5050/5060 には8の係数があります。

所有者: ialeksov