AIOps-Warnung "Ressourcenpool - NAT Poolnutzung"NAT

• Warnung von AIOps bezüglich einer hohen Auslastung des NAT Ressourcenpools.
• Empfehlung von AIOps zur Erweiterung des NAT Ressourcenpools.

• PAN-OS
• AIOps

Diese Warnung weist auf eine hohe NAT Poolauslastung hin, die vor einer NAT Poolerschöpfung warnt, führen Sie die folgenden Schritte aus, um dieses Problem zu beheben.

1. Identifizieren Sie die Quellregel NAT mit einer hohen NAT IP Poolnutzungsbasis auf der Metrik nat_resources_dipp_dp-slot_rule_name (wobei der Regelname durch den Namen der NAT Regel ersetzt wird), die von den AIOps ausgegeben wird.
2. Sie können dasselbe überprüfen, indem firewall CLI Sie den folgenden Befehl verwenden und den Befehl "Verwendet" mit "Verfügbar" für jede der angezeigten NAT Regeln vergleichen.

> show running ippool

3. Überprüfen Sie die Konfiguration dieser Quellregel unter firewall UI Richtlinien> NAT und ihre Gültigkeit basiert auf den verschiedenen NAT Anwendungsfällen in NAT Konfigurationsbeispielen und im KB Artikel Quellübersetzungstypen NATNAT und typische Anwendungsfälle.
4. Beheben Sie die hohe NAT Poolnutzung mit den folgenden Optionen:
   1. Bearbeiten Sie diese Quellregel NAT unter Richtlinien > NAT , indem Sie den übersetzten Adresspool erhöhen:
      1. Klicken Sie auf die Schaltfläche, die NAT policy AIOps für NAT Poolerschöpfung gekennzeichnet hat.
      2. Klicken Sie auf die Registerkarte Übersetztes Paket .
      3. Unter Übersetzung der Quelladresse.
      4. Klicken Sie auf Hinzufügen.
      5. Geben Sie die neue IP Adresse(n) ein.
      6. Klicken Sie auf OK.
      7. Klicken Sie in der oberen rechten Ecke auf Commit .
   2. Wenden Sie dasselbe auf alle Quellen NAT DIP oder DIPP Regeln an, die ein hohes NAT Poolnutzungsproblem haben.
   3. Wenn dem übersetzten Adresspool keine weiteren öffentlichen IPs hinzugefügt werden können und wenn das Problem der hohen Poolnutzung die Regel (n) betrifft DIPP NAT , sollten Sie die Option Bin Betracht ziehen.
5. Erhöhen Sie die Überzeichnungsrate für DIPP NAT:
   1. Klicken Sie DEVICEauf > Registerkarte Setup.
   2. Klicken Sie auf Sitzung.
   3. Klicken Sie auf Gear (Sitzungseinstellungen).
   4. Wählen Sie unter NAT Überzeichnungsrate einen Verhältniswert aus, der größer als die aktuelle Konfiguration ist.
   5. Um den aktuellen Wert der NAT Überzeichnungsrate zu ermitteln, verwenden Sie den Befehl:

> show running ippool

Wie aus dem Schnappschuss unten ersichtlich:

6. Klicken Sie auf OK.
7. Klicken Sie auf Commit.

Hinweis:

1. Die NAT Überzeichnungsrate ist eine firewall globale Einstellung und wirkt sich auf alle NAT DIPP Regeln aus.
2. Die NAT Überzeichnungsrate bezieht sich auf die Wiederverwendbarkeit des übersetzten IP und port. Wenn Sie die Überzeichnungsrate erhöhen, erhöht sich die Anzahl der Quellgeräteübersetzungen pro Regel, verringert jedoch die Anzahl der GesamtDIP- und DIPP NAT Regelzuweisungen, die pro NAT firewallzulässig sind.
3. Schritt 5 wirkt sich nur auf die Poolnutzung aus DIPP NAT und hilft nicht bei hoher DIP NAT Poolnutzung.

Allgemeine Empfehlungen zur dynamischen IP Bereitstellung:
1) Versuchen Sie, mindestens ein Verhältnis von Quell-IPs zu übersetzenden Adressen zuzuweisen.
2) Für MultisystemeDP (wie die und Serie) wird empfohlen, die PA-5250 1,5-fache Anzahl übersetzter
IPs pro 1x Quell-IPs zu verwenden, um einen Puffer zu erstellen, um Wiederholungen und PA-7000 Konflikte zu vermeiden, wenn nach firewall einem gesucht wird, was
zu verworfenen IPPaketen führen kann. 
3) Konfigurieren Sie Dynamic und Port Fallback für Dynamic-Regeln IP IP NAT , die als Backup dienen, falls dem dynamischen IP Adresspool die IPs ausgehen.
4) Konfigurieren Sie Hash-Source als Sitzungsverteilung policy auf Plattformen mit FPP einer Verbesserung der Leistung in stark NATed-Umgebungen.
In der CLI - Legen Sie die Hash-Quelle für die Sitzungsverteilung policy fest

Zusätzliche Referenzen, die in diesem Artikel verwendet werden:
HOW TO CHANGE THE NAT OVERSUBSCRIPTION RATE
PACKET DROP DUE TO SOURCE NAT IP/PORT ALLOCATION FAILED
Dynamische IP und Port-Überzeichnung NAT