高策略配置内存使用率和提交失败，并显示错误“无法处理CONFIG_UPDATE_START”

• CLI 输出中策略缓存使用率高：

> debug dataplane show cfg-memstat statistics
VSYS POLICY CACHE Allocator Usage

POLICY CACHE (ACTIVE)         :   61461KB
POLICY CACHE USAGE            :    60032KB (97% of 61440KB) <<
:
POLICY CACHE (PASSIVE)       :   61461KB
POLICY CACHE USAGE            :    60032KB (97% of 61440KB) <<

• 提交失败
• 在这种情况下看到的提交失败错误消息示例：

  "Details:Error: Failed to get vsys config, already allocated (2621440 bytes)
  failed to handle CONFIG_UPDATE_START"

• 运行 PAN-OS 的任何平台，包括 Prisma Access 使用的 VM。

• 配置为策略规则的源地址或目标地址的 IP 地址/FQDN/标记（已注册的 IP）/DAG 过多。
• 在 EDL 中配置了过多的 IP 地址/FQDN，并且 EDL 被配置为策略规则的源地址或目标地址;
• 配置的策略规则过多（在大多数情况下，它们是安全策略规则）。

1. 减少配置为策略规则源地址或目标地址的 IP 地址/FQDN/标记（已注册 IP）/DAG 的数量。
2. 减少在配置为策略规则的源地址或目标地址的 EDL 中配置的 IP 地址/FQDN 的数量。
3. 减少配置的策略规则数。
4. 对于多虚拟系统（多 vsys）防火墙，请考虑通过 删除任何未使用的 vsys 来减少 vsys。
5. 如果即使遵循上面列出的建议，您也无法减少策略配置内存使用量，那么：
   1. 对于硬件固件，请考虑将固件升级到更高容量的平台，对于多插槽防火墙，请考虑将受影响的卡升级到更高容量的卡（如果可能）。
   2. 对于运行低于 10.2.0 的 VM-Flex 固件，请考虑升级到高于 10.2.0 的版本，以利用 VM 系列防火墙功能的内存扩展提供的更高配置容量。 此外，请考虑增加固件内存/RAM 以增加 VM-Flex 固件的容量。

1. 如果确定问题与预定义的外部动态列表相关，请务必了解防火墙通过防病毒动态更新接收这些源的更新。要缓解此问题，请执行以下操作：
   1. 通过根据需要排除条目来减少 EDL 文件中的 EDL 条目，直到提交成功并且防火墙退出错误条件。请参阅 https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-admin/policy/use-an-external-dynamic-list-in-policy/exclude-entries-from-an-external-dynamic-list。  
2. 如果确定问题与自定义外部动态列表相关，并且需要将其删除，则使用 CLI 命令：

   > debug external-list delete-file type ip name <name of the custom edl list>