AIOps アラート」NATリソース プール -NAT割り当て失敗」
13906
Created On 04/22/22 08:57 AM - Last Modified 11/08/23 06:59 AM
Symptom
- 動的に関する AIOps からのアラートIP(DIP ) または動的IPおよびポート (DIPP ) 送信元ネットワーク アドレス変換の割り当てに失敗しました。
- AIOps からのレビューの推奨事項NATルールと、必要に応じてNATリソースプール。
Environment
- PAN-OS
- AIOps
Cause
グローバル カウンター「flow_policy_nat」が以前の読み取り値と比較して増加していることが検出された場合、クリティカル アラートがトリガーされます。
「flow_policy_nat」カウンタは、ソースが原因で一部のセッションがドロップされていることを示しますNAT IP/ポートの割り当てエラーで、「」と表示されますNATカウンター - ポリシー".
グローバル カウンター「flow_fpp_nat_dipp_max_retries」が以前の読み取り値と比較して増加していることが検出された場合、クリティカル アラートがトリガーされます。
ここで、「flow_fpp_nat_dipp_max_retries」カウンターは、ポート番号の割り当てを 5 回再試行した後、一部のセッションがドロップされていることを示します。DIPP NAT失敗してDPプライベート ポート プールにフォールバックします。 このカウンターはPA-5200とPA-7000のみ、「」と表示されます。NATカウンター - 動的IP/ポート最大再試行」.
Resolution
- あなたのNATポリシーは適切に構成されていますポリシー >NAT
- さまざまなレビューNAT以下のリンクのユースケース
- 技術文書:NAT構成例
- KB 記事:ソースNAT翻訳の種類と典型的なユースケース.
- チェックfirewallトラフィック ログ監視 > ログ > トラフィック
- ソース、宛先、NATソースIP、NAT宛先IP列
- 一致するはずのトラフィックについて、NAT適切なアドレス変換が行われていることを確認してください。
- にログインCLIのfirewall次のコマンドを発行します。
> show running ippool
- ソースの 1 つ以上の場合NATルール (DIPまたDIPP)上記のコマンドにリストされている場合、AIOps もトリガーする必要があります」NATプールの使用"アラート。
- その場合は、「」に記載されている推奨事項に従ってください。NATプールの使用「警告。
Additional Information
一般的な動的IP考慮すべき展開の推奨事項:
- ソース IP と変換済みアドレスを少なくとも 1 対 1 の比率で割り当てるようにしてください。
- マルチ用DPシステム(のようなPA-5250とPA-7000シリーズ) 1x ソース IP ごとに 1.5x 数の変換済み IP を使用して、再試行と競合を回避するためのバッファを作成することをお勧めします。firewallを探していますIPこれにより、パケットがドロップされる可能性があります。
- 動的に構成するIPおよびダイナミックのポート フォールバックIP NAT動的な場合のバックアップとして機能するルールIPアドレス プールが IP を使い果たします。
- hash-source をセッション分散として構成するpolicyプラットフォーム上でFPPNAT が多用されている環境でのパフォーマンスを向上させます。 の中にCLI- セッション配信の設定policyハッシュソース
このナレッジ記事で使用されているその他の参考資料:
PACKET DROP DUE TO SOURCE NAT IP/PORT ALLOCATION FAILED
WHAT IS THE MEANING OF FLOW PREFIX COUNTERS IN GLOBAL COUNTER OUTPUT