1. "%NAT-4-DEFAULT_MAX_ENTRIES:" メッセージについて
IOSXE では、大量のNATエントリの作成によるQFP のメモリ枯渇を防ぐため、デフォルトの最大NAT エントリ数を超え、frame drop が発生した場合に、下記のメッセージにより通知を行います。
%NAT-4-DEFAULT_MAX_ENTRIES: default maximum entries value 131072 exceeded; frame dropped
このデフォルトの最大NAT エントリ数(default maximum entries value)は、ESP のタイプ 、QFP のメモリ使用状況(NAT 以外にファイヤウォール、QoS、Netflowなどの機能でも使用) によって、自動的に計算されます。したがって、ファイヤウォール、QoS などNAT 以外の設定にてQFP のメモリが使用され、使用状況によっては、最大NAT エントリ数の値(上記では、131072) が変動します。
NAT44 (static NAT only) の場合の各ESP Type 、Session Scaling(CCO記載 ルータ処理能力)、およびPlatform Default Scaling(最大NATエントリ数) は、下記のようになっています。
(※ 単位 : sessions)
2. NAT変換のレート制限機能の変更
- ip nat translation max-entries <Number of entries>
上記コマンドにて、最大NAT エントリ数を増やすことができます。
許容される NAT エントリの最大数は 2147483647 ですが、大量の NAT 要求を生成している場合、悪意のあるウィルスやワーム攻撃の現況である可能性もあるため、通常、設定する NAT レート制限の範囲は 100 ~ 300 エントリ(下記CCO:NAT変換のレート制限機能の設定 記載値) となっております。
参考: NAT 変換のレート制限機能の設定
3. NAT変換のレート制限機能の変更時の注意事項
"ip nat translation max-entries"にて、デフォルトの最大NAT エントリ数を超えた値
を設定される場合、QFP のメモリ使用状況、設定状況によっては、NAT 以外の機能にも
影響を及ぼす可能性があります。
事前に検証環境にて、適切な値か判断の上、設定いただきますようお願いいたします。
検証の参考として、"show platform hardware qfp active infrastructure exmem statistics"
のTotal DRAMに対し、FreeDRAMの値が、15% を下回らないよう設定することお勧めいたします。
参考: QFP でのメモリ使用量の確認
ASR1000#show platform hardware qfp active infrastructure exmem statistics
QFP exmem statistics
Type: Name: DRAM, QFP: 0
Total: 1073741824
InUse: 258043904
Free: 815697920
Lowest free water mark: 815697920