Alerta de AIOps "Grupo de recursos - NAT Error de asignación"NAT

Alerta de AIOps "Grupo de recursos - NAT Error de asignación"NAT

14033
Created On 04/22/22 08:57 AM - Last Modified 11/08/23 06:59 AM


Symptom


  • Alerta de AIOps sobre el error de asignación de traducción de direcciones de red de origen dinámico () o dinámico y de IP puerto (DIPPDIP).IP
  • Recomendación de AIOps para revisar la NAT regla y, si es necesario, aumentar el NAT grupo de recursos.

Environment


  • PAN-OS
  • AIOps

Cause


Si se detecta que el contador global "flow_policy_nat" está aumentando en comparación con el valor de lectura anterior, se activa una alerta crítica.
Donde el contador "flow_policy_nat" indica que algunas sesiones se están descartando debido a un error de asignación de origen NAT IP/ puerto, y se muestra como "NAT contadores - Políticas". 

Si se detecta que el contador global "flow_fpp_nat_dipp_max_retries" está aumentando en comparación con el valor de lectura anterior, se activa una alerta crítica.
Donde el contador "flow_fpp_nat_dipp_max_retries" indica que algunas sesiones se están descartando después de cinco reintentos para asignar un número de puerto para DIPP NAT error y DP retrocede a su grupo de puertos privados. Este contador es propietario de PA-5200 y sólo, y PA-7000 se muestra como "NAT contadores -Dynamic IP/Port Max Retries".

Resolution


  1. Compruebe que las NAT directivas están configuradas correctamente en Directivas > NAT
  2. Revise los diferentes NAT casos de uso de los enlaces a continuación
    1. TechDoc: NAT Ejemplos de configuración 
    2. KB Artículo: Traducción de origen NAT Tipos y casos de uso típicos.
  3. Compruebe firewall los registros de tráfico en Monitor> Registros> Tráfico 
    1. Habilitar columnas Origen, Destino, OrigenIP, NAT NAT Dest IP
    2. Asegúrese de que para el tráfico que se supone que coincide con la regla se está realizando la NAT traducción de direcciones adecuada.
  4. Inicie sesión en el CLI firewall de y ejecute el siguiente comando:
> show running ippool
  1. En caso de que una o más de las reglas de origen NAT (DIP o ) enumeradas en el comando anterior tenga o DIPPtenga un uso alto, AIOps también debe activar la alerta "NAT Uso del grupo".
  2. Si ese es el caso, siga la recomendación que aparece en la alerta de "NAT uso del grupo ".

Additional Information


Recomendaciones generales de implementación dinámica IP a tener en cuenta:

  • Intente asignar al menos una proporción de uno a uno de IP de origen a direcciones traducidas.
  • Para sistemas múltiplesDP (como la serie y) se recomienda utilizar un número 1,5 veces mayor PA-5250 de direcciones IP traducidas por 1x IP de origen, para crear un búfer para evitar reintentos y PA-7000 conflictos cuando se firewall busca un IP, lo que puede dar lugar a paquetes descartados.
  • Configure la reserva dinámica IP y de puerto para que las reglas dinámicas sirvan como copia de seguridad en caso de que el grupo de direcciones dinámicas IP NAT IP se quede sin direcciones IP.
  • Configure hash-source como la distribución policy de sesiones en plataformas con un FPP para mejorar el rendimiento en entornos muy NATed. En el - establecer origen CLI hash de distribución de policy sesión

Referencias adicionales utilizadas en este artículo de conocimiento:

PACKET DROP DUE TO SOURCE NAT IP/PORT ALLOCATION FAILED

WHAT IS THE MEANING OF FLOW PREFIX COUNTERS IN GLOBAL COUNTER OUTPUT
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OFOCA2&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language