AIOps-Warnung "Ressourcenpool - NAT Zuordnungsfehler"NAT

AIOps-Warnung "Ressourcenpool - NAT Zuordnungsfehler"NAT

13978
Created On 04/22/22 08:57 AM - Last Modified 11/08/23 06:59 AM


Symptom


  • Warnung von AIOps bezüglich eines Fehlers bei der Zuweisung dynamischer IP () oder dynamischer IP und Port (DIPDIPP) Quellnetzwerkadressübersetzung.
  • Empfehlung von AIOps, die NAT Regel zu überprüfen und bei Bedarf den NAT Ressourcenpool zu erhöhen.

Environment


  • PAN-OS
  • AIOps

Cause


Wenn festgestellt wird, dass der globale Zähler "flow_policy_nat" im Vergleich zum vorherigen Messwert ansteigt, wird eine kritische Warnung ausgelöst.
Dabei zeigt der Zähler "flow_policy_nat" an, dass einige Sitzungen aufgrund eines Quell NAT IP-/Portzuordnungsfehlers abgebrochen werden, und wird als "Zähler - Richtlinien"NAT angezeigt. 

Wenn festgestellt wird, dass der globale Zähler "flow_fpp_nat_dipp_max_retries" im Vergleich zum vorherigen Messwert ansteigt, wird eine kritische Warnung ausgelöst.
Dabei zeigt der Zähler "flow_fpp_nat_dipp_max_retries" an, dass einige Sitzungen nach fünf Wiederholungsversuchen zum Zuweisen einer Portnummer für DIPP NAT fehlgeschlagen abgebrochen werden und DP auf den privaten Portpool zurückfallen. Dieser Leistungsindikator ist proprietär für PA-5200 und nur und PA-7000 wird als "NAT counters -Dynamic IP/Port Max Retries " angezeigt.

Resolution


  1. Überprüfen Sie, ob Ihre NAT Richtlinien unter Richtlinien ordnungsgemäß konfiguriert sind > NAT
  2. Sehen Sie sich die verschiedenen NAT Anwendungsfälle unter den folgenden Links an
    1. TechDoc: NAT Konfigurationsbeispiele 
    2. KB Artikel: Source NAT translation Types and typical use cases.
  3. Überprüfen Sie firewall die Datenverkehrsprotokolle unter Überwachen> Protokolle> Datenverkehr 
    1. Aktivieren Sie die Spalten Quelle, Ziel, QuelleIP, NAT NAT Dest IP
    2. Stellen Sie sicher, dass für den Datenverkehr, der der NAT Regel entsprechen soll, die richtige Adressübersetzung erfolgt.
  4. Melden Sie sich bei der der CLI an firewall und geben Sie den folgenden Befehl ein:
> show running ippool
  1. Falls eine oder mehrere der im obigen Befehl aufgeführten Quellregeln NAT (DIP oder ) eine hohe Auslastung haben oder DIPPhaben, sollten AIOps auch die Warnung "NAT Poolnutzung" auslösen.
  2. Wenn dies der Fall ist, folgen Sie der Empfehlung, die in der Warnung "NAT Poolnutzung " aufgeführt ist.

Additional Information


Allgemeine Empfehlungen für die dynamische IP Bereitstellung, die Sie berücksichtigen sollten:

  • Versuchen Sie, mindestens ein Verhältnis von Quell-IPs zu übersetzten Adressen zuzuordnen.
  • Für MultisystemeDP (wie die und -Serie) wird empfohlen, die PA-5250 1,5-fache Anzahl übersetzter IPs pro 1x Quell-IPs zu verwenden, um einen Puffer zu erstellen, um Wiederholungen und PA-7000 Konflikte zu vermeiden, wenn nach firewall einem gesucht wird, was zu verworfenen IPPaketen führen kann.
  • Konfigurieren Sie das dynamische Fallback und das IP Portfallback für dynamische Regeln IP NAT , die als Sicherung dienen, falls dem dynamischen IP Adresspool die IP-Adressen ausgehen.
  • Konfigurieren Sie Hash-Source als Sitzungsverteilung policy auf Plattformen mit FPP einer Verbesserung der Leistung in stark NATed-Umgebungen. In der CLI - Legen Sie die Hash-Quelle für die Sitzungsverteilung policy fest

Zusätzliche Referenzen, die in diesem Wissensartikel verwendet werden:

PACKET DROP DUE TO SOURCE NAT IP/PORT ALLOCATION FAILED

WHAT IS THE MEANING OF FLOW PREFIX COUNTERS IN GLOBAL COUNTER OUTPUT
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OFOCA2&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language