如果可用的 NAT 条目数极少,应调查系统是否可能存在泄漏。
vcadmin@vcg1-example:~$ sudo /opt/vc/bin/getcntr -c natd.nat_shmem_free_entries -d vcgwnat.com
993408
vcadmin@vcg1-example:~$
可以重新引导网关以清除所有分配的 NAT 条目。重新启动服务对 NAT 条目没有任何影响。
有关支持的值,请参阅 Partner Connect 门户中发布的《VMware SD-WAN 性能和规模数据表》。要访问该数据表,必须使用您的合作伙伴凭据(用户名和密码)登录到 Partner Connect 门户。
下表列出了 NAT 条件的限制值
| 阈值状态 |
阈值 |
建议的纠正措施 |
| 警告 |
900K 个 NAT 条目的 50% |
- 如果 NAT 总数超过警告或严重阈值:
- 收集诊断包。
- 检查失效 NAT 计数阈值,并执行为失效 NAT 计数列出的相应操作。
- 如果失效 NAT 计数在警告阈值范围内,请检查 NAT 表中的排名靠前的使用者。
- 如果怀疑受到 DOS 攻击,请禁用任何产生大量 NAT 条目的对等体。
- 检查是否任何企业使用大部分的 NAT 条目。可以使用该信息负载均衡企业中的 Edge。
- 如果所有租户或多或少地均等使用 NAT 条目,并且内存使用量超过严重阈值,请重新启动网关上的服务。
- 如果 NAT 计数超过严重阈值:
- 向 VMware 提交一个高优先级支持案例并提供诊断包。
- 重新启动网关上的 NAT 服务,并检查是否已解决该问题。如果没有,请重新启动所有网关服务。
- 运行以下命令以检查具有高 NAT 计数的对等体:
/opt/vc/bin/vc_top_peers.sh -t nat。
|
| 严重 |
900K 个 NAT 条目的 75% |
下表列出了失效 AT 条目的阈值。
| 阈值状态 |
阈值 |
建议的纠正措施 |
| 警告 |
10% |
- 如果失效 NAT 计数超过警告或严重阈值:
- 收集诊断包。
- 检查是否少量 Edge 导致这些失效 NAT 条目。
- 如果失效 NAT 计数超过严重阈值:
- 向 VMware 提交一个高优先级支持案例,并提供诊断包和
/opt/vc/bin/debug.py --stale_nat_dump 输出。
- 重新启动网关上的 NAT 服务,并检查是否已解决该问题。如果没有,请重新启动所有网关服务。
- 如果在同一网关上多次出现同一问题,或者在不同网关上观察到同一问题,请将已创建的支持案例标记为严重。
|
| 严重 |
25% |
