AIOps警报“NAT资源池 -NAT分配失败”

AIOps警报“NAT资源池 -NAT分配失败”

13920
Created On 04/22/22 08:57 AM - Last Modified 11/08/23 06:59 AM


Symptom


  • 来自 AIOps 的关于动态的警报IP(DIP ) 或动态IP和港口(DIPP ) 源网络地址转换分配失败。
  • AIOps 建议审查NAT规则,如果需要增加NAT资源池。

Environment


  • PAN-OS
  • AIOps

Cause


如果检测到全局计数器“flow_policy_nat”与之前的读数相比在增加,则会触发严重警报。
其中“flow_policy_nat”计数器指示某些会话由于来源而被丢弃NAT IP/端口分配错误,显示为“NAT计数器 - 策略”。

如果检测到全局计数器“flow_fpp_nat_dipp_max_retries”与之前的读数相比有所增加,则会触发严重警报。
其中“flow_fpp_nat_dipp_max_retries”计数器指示某些会话在五次重试后被丢弃以分配端口号DIPP NAT失败和DP回退到其专用端口池。 该计数器专有PA-5200和PA-7000仅,并显示为“NAT计数器-动态IP/端口最大重试”。

Resolution


  1. 确认您的NAT策略已正确配置政策 >NAT
  2. 回顾不同NAT来自以下链接的用例
    1. 技术文档:NAT配置示例
    2. KB 文章:来源NAT翻译类型和典型用例.
  3. 查看firewall下的交通日志监控 > 日志 > 流量
    1. 启用源、目标、NAT来源IP,NAT目的地IP列
    2. 确保对于应该匹配的流量NAT规则正确的地址转换正在发生。
  4. 登入CLI的firewall并发出以下命令:
> show running ippool
  1. 如果一个或多个来源NAT规则(DIP或者DIPP) 上面命令中列出的具有或具有高使用率的 AIOps 也应该触发“NAT池使用“ 警报。
  2. 如果是这种情况,请遵循“NAT池使用“ 警报。

Additional Information


通用动力IP要考虑的部署建议:

  • 尝试分配至少一对一的源 IP 与转换后的地址。
  • 对于多DP系统(如PA-5250和PA-7000系列)建议每 1x 源 IP 使用 1.5x 转换的 IP,以创建缓冲区以避免重试和冲突firewall正在寻找一个IP,这可能会导致丢包。
  • 配置动态IP和 Dynamic 的端口回退IP NAT在动态情况下作为备份的规则IP地址池用完了 IP。
  • 配置哈希源作为会话分布policy在平台上FPP以提高重度 NAT 环境中的性能。 在里面CLI- 设置会话分配policy哈希源

本知识文章中使用的其他参考资料:

PACKET DROP DUE TO SOURCE NAT IP/PORT ALLOCATION FAILED

WHAT IS THE MEANING OF FLOW PREFIX COUNTERS IN GLOBAL COUNTER OUTPUT
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OFOCA2&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language