Alerta de AIOps "Grupo de recursos - NAT Uso del grupo"NAT
Symptom
- Alerta de AIOps sobre un alto uso del grupo de NAT recursos.
- Recomendación de AIOps para aumentar el pool de NAT recursos.
Environment
- PAN-OS
- AIOps
Cause
En función del porcentaje de uso del grupo, AIOps activará una alerta basada en la gravedad de los recursos que quedan en el grupo.
Resolution
Esta alerta indica un uso elevado NAT de la piscina que advierte de un NAT agotamiento de la piscina, siga los pasos a continuación para solucionar este problema.
- Identifique la regla de origen NAT que tiene una base de uso de grupo elevada en la métrica nat_resources_dipp_dp-slot_rule_name (donde el nombre de la regla se reemplaza por el nombre de NAT IP la NAT regla) emitida por los AIOps.
- Puede verificar lo mismo firewall CLI usando el comando a continuación y comparar el Usado versus Disponible de este comando para cada una de las NAT reglas mostradas.
> show running ippool
- Revise la configuración de esa regla de origen en Directivas> NAT y su validez se basa en los diferentes NAT casos utilizados en NAT Ejemplos de configuración y en KB firewall UI el artículo Tipos de traducción de origen NATNAT y casos de uso típicos.
- Aborde el alto NAT uso del grupo utilizando las siguientes opciones:
- Edite esa regla de origen NAT en Policies > NAT aumentando su grupo de direcciones traducidas:
- Haga clic en el AIOps marcado para NAT el agotamiento del NAT policy grupo.
- Haga clic en la ficha Paquete traducido .
- En Traducción de direcciones de origen.
- Haga clic en Agregar.
- Introduzca la/s nueva IP /s dirección/es.
- Haga clic en OK.
- Haga clic en Confirmar en la esquina superior derecha.
- Aplique lo mismo a todas las fuentes NAT DIP o DIPP reglas que tienen un alto NAT problema de uso de piscinas.
- Si no puede agregar más direcciones IP públicas al grupo de direcciones traducidas y si el problema del uso elevado del grupo afecta a DIPP NAT las reglas, considere la opción B.
- Edite esa regla de origen NAT en Policies > NAT aumentando su grupo de direcciones traducidas:
- Aumentar la tasa de sobresuscripción para DIPP NAT:
- Haga clic en DEVICE> ficha Configuración.
- Haga clic en Sesión.
- Haga clic en Engranaje de configuración de sesión.
- En NAT Tasa de sobresuscripción, elija un valor de proporción que sea mayor que la configuración actual.
- Para determinar el valor actual de la NAT tasa de sobresuscripción, use el comando:
> show running ippool
- Haga clic en OK.
- Haga clic en Confirmar.
Nota:
- La NAT tasa de sobresuscripción es una firewall configuración global y afectará a todas las NAT DIPP reglas.
- La NAT tasa de sobresubscripción se refiere a la reutilización del IP puerto y traducido. El aumento de la tasa de sobresuscripción aumentará el número de traducciones de dispositivos de origen por regla, pero proporcionará un menor número de reglas generales y permitidas por NAT firewall.DIPP NAT DIP
- El paso 5 solo afectará el DIPP NAT uso de la piscina y no ayudará en caso de un uso elevado NAT de DIP la piscina.
Additional Information
Recomendaciones generales de implementación dinámica IP a tener en cuenta:
1) Intente asignar al menos una proporción uno a uno de IP de origen a direcciones traducidas.
2) Para sistemas múltiplesDP (como la serie y) se recomienda utilizar un número 1,5 veces mayor PA-5250 de IP traducidas
por 1x IP de origen, para crear un búfer para evitar reintentos y PA-7000 conflictos cuando se firewall busca un IP, lo que
puede resultar en paquetes descartados.
3) Configure la reserva dinámica IP y de puerto para que las reglas dinámicas sirvan como copia de seguridad en caso de que el grupo de direcciones dinámicas IP NAT IP se quede sin IP.
4) Configurar hash-source como la distribución policy de sesión en plataformas con un FPP para mejorar el rendimiento en entornos fuertemente NATed.
En el - establecer origen CLI hash de distribución de policy sesión
Referencias adicionales utilizadas en este conocimiento Artículo:
HOW TO CHANGE THE NAT OVERSUBSCRIPTION RATE
PACKET DROP DUE TO SOURCE NAT IP/PORT ALLOCATION FAILED
Suscripción dinámica IP y de puertos NAT