如何检查上一个 NAT 规则过度订阅

概述

在配置端口地址转换时, 帕洛阿尔托网络防火墙可以执行的最大翻译数, 直到它使用规则上的可用端口, 大约是64,000-1、000。较低的1024端口从不使用, 因为它们被视为服务器的端口。

为了在给定的 NAT 规则上容纳更多的翻译, 在帕洛阿尔托网络设备 PA-3000、PA-4000、PA-5000 和 PA-7000 中有一个可供超额订阅的选项。这是预配置的设置, 设备上不需要进行任何更改才能启用它。

步骤

要检查安全规则上的过度订阅, 请使用以下命令:

>> 显示运行的 nat 规则-ippool 规则 nat1

VSYS 1 规则 nat1:

规则: nat1, 池索引: 1, 内存使用率: 20336

-----------------------------------------

超额认购比率: 2

分配数量: 9327

上次分配的索引: 54528

以上输出表明安全规则被超额订阅两次, 这是3050设备上的值。

其他设备的超额订阅比率不同。例如, 5050/5060 的系数为8。

所有者： ialeksov