AIOps警报“NAT资源池 -NAT池使用"

• 来自 AIOps 的关于高使用率的警报NAT资源池。
• AIOps 建议增加NAT资源池。

• PAN-OS
• AIOps

此警报表示高NAT警告池使用情况NAT池耗尽按照以下步骤解决此问题。

1. 识别来源NAT规则高NAT IP基于指标的池使用情况nat_resources_dipp_dp-slot_rule_name （其中规则名称替换为NAT规则）由 AIOps 发出。
2. 您可以从firewallCLI使用下面的命令并比较每个命令的已使用与可用NAT显示的规则。

> show running ippool

3. 查看该源的配置NAT统治之下firewallUI政策>NAT它的有效性基于不同的NAT用例在NAT配置示例并在KB文章来源NAT翻译类型和典型用例.
4. 解决高NAT使用以下选项的池使用情况：
   1. 编辑该来源NAT统治之下政策 >NAT通过增加其翻译地址池：
      1. 点击NAT policyAIOps 标记为NAT池耗尽。
      2. 点击翻译包标签。
      3. 在源地址转换下。
      4. 点击添加.
      5. 键入新的IP地址/es。
      6. 点击OK.
      7. 点击犯罪在右上角。
   2. 对所有源应用相同的NAT DIP或者DIPP规则高NAT池使用问题。
   3. 如果无法将更多公网IP添加到转换后的地址池中，如果池使用率高的问题影响DIPP NAT规则然后考虑选项B.
5. 提高超额认购率DIPP NAT:
   1. 点击DEVICE> 设置标签。
   2. 点击会议.
   3. 单击会话设置齿轮.
   4. 在下面NAT超额认购率, 选择一个大于当前配置的比率值。
   5. 确定的当前值NAT超额认购率使用命令：

> show running ippool

从下面的快照可以看出：

6. 点击OK.
7. 单击提交。

笔记:

1. 这NAT超额认购率是firewall全局设置，并将影响所有NAT DIPP规则。
2. 这NAT超额订阅率是指翻译的可重用性IP和港口。 提高超额订阅率将增加每个源设备翻译的数量NAT规则，但会提供较低的总体数量DIP和DIPP NAT允许的规则firewall.
3. 第 5 步只会影响DIPP NAT池使用情况，在以下情况下无济于事DIP高的NAT池使用。

通用动力IP要考虑的部署建议：
1) 尝试分配至少一比一的源 IP 与转换后的地址。
2）对于多DP系统（如PA-5250和PA-7000series) 建议使用 1.5x 翻译数
IPs per 1x source IPs，创建缓冲区以避免重试和冲突firewall正在寻找一个IP， 哪个
可能导致丢包。
3）配置动态IP和 Dynamic 的端口回退IP NAT在动态情况下作为备份的规则IP地址池用完了 IP。
4）配置hash-source作为session分布policy在平台上FPP以提高重度 NAT 环境中的性能。
在里面CLI- 设置会话分配policy哈希源

本知识文章中使用的其他参考资料：
HOW TO CHANGE THE NAT OVERSUBSCRIPTION RATE
PACKET DROP DUE TO SOURCE NAT IP /PORT ALLOCATION FAILED
动态的IP和端口NAT超额认购