1. "%NAT-4-DEFAULT_MAX_ENTRIES:" メッセージについて
IOSXE では、大量のNATエントリの作成によるQFP の枯渇を防ぐため、デフォルトの最大NAT エントリ数を超え、frame drop が発生した場合に、下記のメッセージにより通知を行います。
%NAT-4-DEFAULT_MAX_ENTRIES: default maximum entries value 131072 exceeded; frame dropped
このデフォルトの最大NAT エントリ数(default maximum entries value)は、Platform Scalability (ESPの種類)、QFP の使用状況(NAT 以外にファイヤウォール、QoS、Netflowなどの機能でも使用) によって、自動的に計算されます。したがって、ファイヤウォール、QoS などNAT 以外の設定にてQFPが使用され、使用状況によっては、最大NAT エントリ数の値(上記では、131072) が変動します。
NAT44 (static NAT only) の場合の各ESP 、scaling、およびdefault maximum entries value は、下記のようになっています。
2. NAT変換のレート制限機能の変更
- ip nat translation max-entries <Number of entries>
上記コマンドにて、最大NAT エントリ数を増やすことができます。
許容される NAT エントリの最大数は 2147483647 ですが、大量の NAT 要求を生成している場合、悪意のあるウィルスやワーム攻撃の現況である可能性もあるため、通常、設定する NAT レート制限の範囲は 100 ~ 300 エントリとなっております。
参考: NAT 変換のレート制限機能の設定
3. NAT変換のレート制限機能の変更時の注意事項
"ip nat translation max-entries"にて、デフォルトの最大NAT エントリ数を超えた値
を設定される場合、QFP のメモリ使用状況、設定状況によっては、NAT 以外の機能にも
影響を及ぼす可能性があります。
事前に検証環境にて、適切な値か判断の上、設定いただきますようお願いいたします。
検証の参考として、"show platform hardware qfp active infrastructure exmem statistics"
のTotal DRAMに対し、FreeDRAMの値が、15% を下回らないよう設定することお勧めいたします。
ASR1000#show platform hardware qfp active infrastructure exmem statistics
QFP exmem statistics
Type: Name: DRAM, QFP: 0
Total: 1073741824
InUse: 258043904
Free: 815697920
Lowest free water mark: 815697920