Alerte AIOps «NAT Pool de ressources - NAT Échec d’allocation »

Alerte AIOps «NAT Pool de ressources - NAT Échec d’allocation »

14035
Created On 04/22/22 08:57 AM - Last Modified 11/08/23 06:59 AM


Symptom


  • Alerte d’AIOps concernant l’échec de l’allocation d’allocation d’adresses réseau dynamique IP () ou dynamique IP et port (DIPDIPP).
  • Recommandation de l’AIOps de revoir la NAT règle et, si nécessaire, d’augmenter le pool de NAT ressources.

Environment


  • PAN-OS
  • AIOps

Cause


Si le compteur global « flow_policy_nat » est détecté comme augmentant par rapport à la valeur de lecture précédente, une alerte critique est déclenchée.
Où le compteur « flow_policy_nat » indique que certaines sessions sont supprimées en raison d’une erreur d’allocation source NAT IP/ port, et est affiché comme "NAT compteurs - Stratégies « . 

Si le compteur global « flow_fpp_nat_dipp_max_retries » est détecté comme augmentant par rapport à la valeur de lecture précédente, une alerte critique est déclenchée.
Où le compteur « flow_fpp_nat_dipp_max_retries » indique que certaines sessions sont abandonnées après cinq tentatives d’allocation d’un numéro de port en cas DIPP NAT d’échec et DP reviennent à son pool de ports privé. Ce compteur est propriétaire de PA-5200 et uniquement, et PA-7000 est affiché comme "NAT compteurs -Dynamic IP/Port Max Retries « .

Resolution


  1. Vérifiez que vos NAT stratégies sont correctement configurées sous Stratégies > NAT
  2. Passez en revue les différents NAT cas d’utilisation à partir des liens ci-dessous
    1. TechDoc : NAT Exemples de configuration 
    2. KB Article : Types de traduction source NAT et cas d’utilisation typiques.
  3. Vérifiez firewall les journaux de trafic sous Moniteur> Journaux> Trafic 
    1. Activer les colonnes Source, Destination, Source IP, NAT NAT Dest IP
    2. Assurez-vous que pour le trafic censé correspondre à la règle, la NAT traduction d’adresse appropriée est en cours.
  4. Connectez-vous à la commande de et firewall exécutez la CLI commande suivante :
> show running ippool
  1. Dans le cas où une ou plusieurs des règles source NAT (DIP ou ) répertoriées dans la commande ci-dessus ont ou DIPPont une utilisation élevée, AIOps devrait également déclencher une alerte "NAT Utilisation du pool « .
  2. Si tel est le cas, suivez les recommandations répertoriées dans l’alerte "NAT Utilisation du pool « .

Additional Information


Recommandations générales de déploiement dynamique IP à prendre en compte :

  • Essayez d’allouer au moins un ratio d’adresses IP sources à une par rapport aux adresses traduites.
  • Pour les multi-systèmesDP (comme la série et), il est recommandé d’utiliser 1,5x le nombre d’adresses IP traduites par 1x les adresses IP source, afin de créer un tampon pour éviter les nouvelles tentatives et PA-7000 les conflits lorsque le recherche d’un firewall , ce qui peut entraîner la PA-5250 IPperte de paquets.
  • Configurez les règles dynamiques et de secours Port pour IP NAT qu’elles servent de sauvegarde au cas où le pool d’adresses dynamiques IP IP manquerait d’adresses IP.
  • Configurez hash-source comme distribution policy de session sur les plates-formes avec un FPP pour améliorer les performances dans les environnements fortement NATed. Dans le - définir la CLI source de hachage de distribution policy de session

Références supplémentaires utilisées dans cet article de connaissances :

PACKET DROP DUE TO SOURCE NAT IP/PORT ALLOCATION FAILED

WHAT IS THE MEANING OF FLOW PREFIX COUNTERS IN GLOBAL COUNTER OUTPUT
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OFOCA2&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language