Alerte AIOps "NAT Pool de ressources - NAT Utilisation du pool »

Alerte AIOps "NAT Pool de ressources - NAT Utilisation du pool »

6777
Created On 04/22/22 10:31 AM - Last Modified 09/13/23 08:10 AM


Symptom


  • Alerte de l’AIOps concernant une utilisation élevée du pool de NAT ressources.
  • Recommandation de l’AIOps d’augmenter le NAT pool de ressources.

Environment


  • PAN-OS
  • AIOps

Cause


Selon le pourcentage d’utilisation du pool, AIOps déclenche une alerte basée sur la gravité des ressources restantes dans le pool.

Resolution


Cette alerte indique une utilisation élevée NAT de la piscine qui avertit d’un NAT épuisement de la piscine Suivez les étapes ci-dessous pour résoudre ce problème.

  1. Identifiez la règle source NAT dont la base d’utilisation du pool est élevée NAT IP sur la métrique nat_resources_dipp_dp-slot_rule_name (où le nom de la règle est remplacé par le nom de la NAT règle) émise par l’AIOps.
  2. Vous pouvez vérifier la même chose en firewall CLI utilisant la commande ci-dessous et comparer les commandes utilisées et disponibles de cette commande pour chacune des NAT règles affichées.
> show running ippool
  1. Passez en revue la configuration de cette règle source NAT sous firewall UI Stratégies> NAT et sa validité repose sur les différents NAT cas d’utilisation dans NAT Exemples de configuration et dans KB l’article Types de traduction de source NAT et cas d’utilisation typiques.
  2. Traitez l’utilisation élevée NAT de la piscine en utilisant les options ci-dessous:
    1. Modifiez cette règle source NAT sous Stratégies > NAT en augmentant son pool d’adresses traduites :
      1. Cliquez sur le NAT policy bouton AIOps signalé pour NAT épuisement du pool.
      2. Cliquez sur l’onglet Paquet traduit .
      3. Sous Traduction de l’adresse source.
      4. Cliquez sur Ajouter.
      5. Saisissez la ou les nouvelles IP adresses.
      6. Cliquez sur OK.
      7. Cliquez sur Valider dans le coin supérieur droit.
    2. Appliquez la même chose à toutes les sources NAT DIP ou DIPP règles qui ont un problème d’utilisation élevée NAT du pool.
    3. Si vous ne parvenez pas à ajouter d’autres adresses IP publiques au pool d’adresses traduites et si le problème d’utilisation élevée du pool affecte DIPP NAT la ou les règles, envisagez l’option B.
  3. Augmenter le taux de sursouscription pour DIPP NAT:
    1. Cliquez sur DEVICE>onglet Configuration.
    2. Cliquez sur Session.
    3. Cliquez sur Session Settings Gear (Paramètres de session).
    4. Sous NAT Taux de sursouscription, choisissez une valeur de ratio supérieure à la configuration actuelle.
    5. Pour déterminer la valeur actuelle du taux de NAT sursouscription, utilisez la commande :
> show running ippool
Comme le montre l’instantané ci-dessous :



NAT-Taux de sursouscription.png
  1. Cliquez sur OK.
  2. Cliquez sur Commit.

Note:

  1. Le NAT taux de sursouscription est un firewall paramètre global et affectera toutes les NAT DIPP règles.
  2. Le NAT taux de sursouscription fait référence à la réutilisation du traduit et IP du port. L’augmentation du taux de sursouscription augmentera le nombre de traductions de périphériques sources par règle, mais réduira le nombre de règles globales et autorisées par NAT firewall.DIPP NAT DIP
  3. L’étape 5 n’affectera DIPP NAT que l’utilisation de la piscine et n’aidera pas en cas d’utilisation élevée NAT de DIP la piscine.

 

 
 
 
 
 
 

Additional Information


Recommandations générales de déploiement dynamique IP à prendre en compte :
1) Essayez d’allouer au moins un ratio d’adresses IP sources à une par rapport aux adresses traduites.
2) Pour les multi-systèmesDP (comme la série et), il est recommandé d’utiliser 1,5x le nombre d’adresses IP traduites
par 1x IP source, pour créer un tampon afin d’éviter les nouvelles tentatives et PA-7000 les conflits lorsque le firewall recherche un , ce qui
peut entraîner la PA-5250 IPperte de paquets. 
3) Configurez le repli dynamique IP et le port pour les règles dynamiques afin qu’ils servent de sauvegarde au cas où le pool d’adresses dynamiques IP NAT IP manquerait d’adresses IP.
4) Configurez hash-source comme distribution policy de session sur les plates-formes avec un FPP pour améliorer les performances dans les environnements fortement NATed.
Dans le - définir la CLI source de hachage de distribution policy de session

Références supplémentaires utilisées dans cet article de connaissances :
HOW TO CHANGE THE NAT OVERSUBSCRIPTION RATE
PACKET DROP DUE TO SOURCE NAT IP/PORT ALLOCATION FAILED
Sursouscription dynamique IP et de port NAT
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OFYCA2&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language