AIOps アラート」NATリソース プール -NATプール利用」

AIOps アラート」NATリソース プール -NATプール利用」

6773
Created On 04/22/22 10:31 AM - Last Modified 09/13/23 08:10 AM


Symptom


  • の使用率が高いことに関する AIOps からのアラートNATリソースプール。
  • を増やすための AIOps からの推奨事項NATリソースプール。

Environment


  • PAN-OS
  • AIOps

Cause


プールの使用率に応じて、AIOps はプールに残っているリソースの重大度に基づいてアラートをトリガーします。

Resolution


このアラートは高値を示しますNATを警告するプールの使用状況NATプールの枯渇は、この問題に対処するために以下の手順に従ってください。

  1. ソースを特定するNAT高いルールNAT IPメトリックに基づくプール使用量nat_resources_dipp_dp-slot_rule_name (ここで、ルール名はルールの名前に置き換えられます。NATルール) AIOps によって発行されます。
  2. から同じことを確認できます。firewallCLI以下のコマンドを使用して、このコマンドの使用済みと使用可能を比較します。NATルールが表示されます。
> show running ippool
  1. そのソースの構成を確認しますNAT支配するfirewallUIポリシー>NATそして、その有効性は異なることに基づいていますNATで使用されているケースNAT構成例そしてKB記事ソースNAT翻訳の種類と典型的なユースケース.
  2. 高みに対処するNAT以下のオプションを使用したプールの使用:
    1. そのソースを編集するNAT支配するポリシー >NAT変換されたアドレス プールを増やすことによって:
      1. クリックNAT policyAIOps がフラグを立てたNATプールの枯渇。
      2. クリック翻訳済みパケットタブ。
      3. 送信元アドレス変換の下。
      4. クリック追加.
      5. 新しいキーを入力しますIPアドレス/es。
      6. クリックOK.
      7. クリック専念右上隅にあります。
    2. すべてのソースに同じものを適用するNAT DIPまたDIPP高いルールNATプールの使用の問題。
    3. 変換されたアドレス プールにパブリック IP を追加できず、プールの使用率が高いという問題が影響する場合DIPP NATルール(複数可)、次にオプションを検討B.
  3. のオーバーサブスクリプション率を上げるDIPP NAT:
    1. クリックDEVICE> セットアップタブ。
    2. クリックセッション.
    3. [セッションの設定] をクリックします装備.
    4. NATオーバーサブスクリプション率で、現在の構成より大きい比率値を選択します。
    5. の現在の値を決定するにはNATオーバーサブスクリプション レートは、次のコマンドを使用します。
> show running ippool
以下のスナップショットからわかるように:



NAT-Oversubscription-Rate.png
  1. クリックOK.
  2. [コミット] をクリックします。

ノート:

  1. のNATオーバーサブスクリプション率はfirewallグローバル設定であり、すべてに影響しますNAT DIPPルール。
  2. のNATオーバーサブスクリプション率は、翻訳済みの再利用可能性を指しています。IPとポート。 オーバーサブスクリプション率を上げると、1 回あたりのソース デバイスの変換数が増加します。NATルールですが、全体の数は少なくなりますDIPとDIPP NAT許可されるルールfirewall.
  3. ステップ 5 のみに影響しますDIPP NATプールの使用量であり、次の場合には役に立ちませんDIP高いNATプールの使用。

 

 
 
 
 
 
 

Additional Information


一般的な動的IP考慮すべき展開の推奨事項:
1) ソース IP と変換済みアドレスを少なくとも 1 対 1 の比率で割り当てるようにしてください。
2) マルチDPシステム(のようなPA-5250とPA-7000シリーズ) 1.5x の翻訳数を使用することをお勧めします
1x ソース IP あたりの IP。firewallを探していますIP、 どれの
パケットがドロップされる可能性があります。
3) 動的に構成するIPおよびダイナミックのポート フォールバックIP NAT動的な場合のバックアップとして機能するルールIPアドレス プールが IP を使い果たします。
4) hash-source をセッションディストリビューションとして構成するpolicyプラットフォーム上でFPPNAT が多用されている環境でのパフォーマンスを向上させます。
の中にCLI- セッション配信の設定policyハッシュソース

このナレッジ記事で使用されているその他の参考資料:
HOW TO CHANGE THE NAT OVERSUBSCRIPTION RATE
PACKET DROP DUE TO SOURCE NAT IP /PORT ALLOCATION FAILED
動的IPおよびポートNATオーバーサブスクリプション
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OFYCA2&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language