AIOps アラート」NATリソース プール -NATプール利用」
6773
Created On 04/22/22 10:31 AM - Last Modified 09/13/23 08:10 AM
Symptom
- の使用率が高いことに関する AIOps からのアラートNATリソースプール。
- を増やすための AIOps からの推奨事項NATリソースプール。
Environment
- PAN-OS
- AIOps
Cause
プールの使用率に応じて、AIOps はプールに残っているリソースの重大度に基づいてアラートをトリガーします。
Resolution
このアラートは高値を示しますNATを警告するプールの使用状況NATプールの枯渇は、この問題に対処するために以下の手順に従ってください。
- ソースを特定するNAT高いルールNAT IPメトリックに基づくプール使用量nat_resources_dipp_dp-slot_rule_name (ここで、ルール名はルールの名前に置き換えられます。NATルール) AIOps によって発行されます。
- から同じことを確認できます。firewallCLI以下のコマンドを使用して、このコマンドの使用済みと使用可能を比較します。NATルールが表示されます。
> show running ippool
- そのソースの構成を確認しますNAT支配するfirewallUIポリシー>NATそして、その有効性は異なることに基づいていますNATで使用されているケースNAT構成例そしてKB記事ソースNAT翻訳の種類と典型的なユースケース.
- 高みに対処するNAT以下のオプションを使用したプールの使用:
- そのソースを編集するNAT支配するポリシー >NAT変換されたアドレス プールを増やすことによって:
- クリックNAT policyAIOps がフラグを立てたNATプールの枯渇。
- クリック翻訳済みパケットタブ。
- 送信元アドレス変換の下。
- クリック追加.
- 新しいキーを入力しますIPアドレス/es。
- クリックOK.
- クリック専念右上隅にあります。
- すべてのソースに同じものを適用するNAT DIPまたDIPP高いルールNATプールの使用の問題。
- 変換されたアドレス プールにパブリック IP を追加できず、プールの使用率が高いという問題が影響する場合DIPP NATルール(複数可)、次にオプションを検討B.
- そのソースを編集するNAT支配するポリシー >NAT変換されたアドレス プールを増やすことによって:
- のオーバーサブスクリプション率を上げるDIPP NAT:
- クリックDEVICE> セットアップタブ。
- クリックセッション.
- [セッションの設定] をクリックします装備.
- 下NATオーバーサブスクリプション率で、現在の構成より大きい比率値を選択します。
- の現在の値を決定するにはNATオーバーサブスクリプション レートは、次のコマンドを使用します。
> show running ippool
以下のスナップショットからわかるように:
![NAT-Oversubscription-Rate.png](/servlet/rtaImage?eid=ka14u000000Xxdb&feoid=00N0g000003VPSv&refid=0EM4u000005dKdl)
- クリックOK.
- [コミット] をクリックします。
ノート:
- のNATオーバーサブスクリプション率はfirewallグローバル設定であり、すべてに影響しますNAT DIPPルール。
- のNATオーバーサブスクリプション率は、翻訳済みの再利用可能性を指しています。IPとポート。 オーバーサブスクリプション率を上げると、1 回あたりのソース デバイスの変換数が増加します。NATルールですが、全体の数は少なくなりますDIPとDIPP NAT許可されるルールfirewall.
- ステップ 5 のみに影響しますDIPP NATプールの使用量であり、次の場合には役に立ちませんDIP高いNATプールの使用。
Additional Information
一般的な動的IP考慮すべき展開の推奨事項:
1) ソース IP と変換済みアドレスを少なくとも 1 対 1 の比率で割り当てるようにしてください。
2) マルチDPシステム(のようなPA-5250とPA-7000シリーズ) 1.5x の翻訳数を使用することをお勧めします
1x ソース IP あたりの IP。firewallを探していますIP、 どれの
パケットがドロップされる可能性があります。
3) 動的に構成するIPおよびダイナミックのポート フォールバックIP NAT動的な場合のバックアップとして機能するルールIPアドレス プールが IP を使い果たします。
4) hash-source をセッションディストリビューションとして構成するpolicyプラットフォーム上でFPPNAT が多用されている環境でのパフォーマンスを向上させます。
の中にCLI- セッション配信の設定policyハッシュソース
このナレッジ記事で使用されているその他の参考資料:
HOW TO CHANGE THE NAT OVERSUBSCRIPTION RATE
PACKET DROP DUE TO SOURCE NAT IP /PORT ALLOCATION FAILED
動的IPおよびポートNATオーバーサブスクリプション