如何检查上一个 NAT 规则过度订阅
45585
Created On 09/26/18 13:50 PM - Last Modified 06/12/23 08:42 AM
Resolution
概述
在配置端口地址转换时, 帕洛阿尔托网络防火墙可以执行的最大翻译数, 直到它使用规则上的可用端口, 大约是64,000-1、000。较低的1024端口从不使用, 因为它们被视为服务器的端口。
为了在给定的 NAT 规则上容纳更多的翻译, 在帕洛阿尔托网络设备 PA-3000、PA-4000、PA-5000 和 PA-7000 中有一个可供超额订阅的选项。这是预配置的设置, 设备上不需要进行任何更改才能启用它。
步骤
要检查安全规则上的过度订阅, 请使用以下命令:
>> 显示运行的 nat 规则-ippool 规则 nat1
VSYS 1 规则 nat1:
规则: nat1, 池索引: 1, 内存使用率: 20336
-----------------------------------------
超额认购比率: 2
分配数量: 9327
上次分配的索引: 54528
以上输出表明安全规则被超额订阅两次, 这是3050设备上的值。
其他设备的超额订阅比率不同。例如, 5050/5060 的系数为8。
所有者: ialeksov