Cisco NGFW FTD NAT/PAT池耗尽监测

Question

我们有一个客户，他很少体验NAT/PAT池耗尽他们的思科火力NGFW 4110。虽然syslog会很好地通知我们有一个直接的问题，但我们真的很想在事故发生之前做一些先发制人的事情。

经过长时间的搜索，我在Cisco社区论坛上找到了这个帖子：

https://community.cisco.com/t5/network-security/how-to-monitor-ip-nat-pool-for-asa-firepower-asa-appliance/td-p/4156426

现在我知道他们谈论的是火力方面的ASA，但最关键的是，我尝试了前面提到的SNMP OID，看看我们是否可以检查这些计数器并根据它们创建警报。但是，我的问题是，我真的看不到实际的CLI输出和SNMP轮询输出之间有什么相似之处。我知道他写的结果可能是动态不同的，不管这意味着什么，但是我有在CLI上有20K连接的IP地址NAT，而SNMP告诉我5，所以.

有人有使用SNMP OID的经验吗？

• 1.3.6.1.2.1.123.1.4.1.11是IP地址的HEX-字符串。
• 1.3.6.1.1.1.123.1.4.1.19是目前使用的港口数量

也许有人能解释这一切是如何一起运作的？

1.3.6.1.1.1.123.1.4.1.11示例输出(大多数IP地址重复)：

1.3.6.1.1.1.123.1.4.1.19示例输出：

Answer 1

我不确定这个信息是否适用于火力操作系统(我认为您的模型运行FXOS)，但它可能会有帮助：

https://snmp.cloudapps.cisco.com/Support/SNMP/do/BrowseOID.do?local=en&translate=Translate&objectInput=1.3.6.1.4.1.9.10.77.1.2.1

您可以从Cisco获得MIB信息文件，但它需要一个支持合同：

https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/mib/b_FXOS_四百一百_九千三百_MIBRef/关于_西斯科_fxos_mib_files.html

控制NAT会话问题的方法是简单地限制每个用户的并发会话。最有可能的是，您看到的是一个滥用问题，其中单个用户通过使用bittorrent或网络攻击来打开异常多的翻译/连接。如果您限制每个客户端的连接数量，就可以防止问题的发生，而不必担心监视。

您可以通过一些可选的策略映射设置来限制并发连接：

https://www.cisco.com/c/en/us/td/docs/security/asa/asa914/configuration/firewall/asa-914-firewall-config/conns-connlimits.html

不确定该特性是否在火力设备管理器或其他用于火力的GUI平台中公开。您可能必须使用flex命令行接口来完成此操作。

https://www.cisco.com/c/en/us/td/docs/security/firepower/730/fdm/fptd-fdm-config-guide-730/fptd-fdm-advanced.html#concept_53C22C306B57480D99DB905E90D5FDC9