So verringern Sie die hohe Konfigurationsspeicherauslastung aufgrund des Erreichens der Gerätekapazitätsgrenze durch die Konfigurationsgröße
19584
Created On 04/19/24 05:32 AM - Last Modified 09/25/25 04:01 AM
Objective
Um das Problem der hohen Konfigurationsspeicherauslastung zu beheben, die durch das Erreichen der Gerätekapazitätsgrenze durch die Konfigurationsgröße verursacht wird, wurde die Hauptursache für diese hohe Konfigurationsspeicherauslastung ermittelt, indem ein Anstieg der VSYS Config Allocator-Auslastung festgestellt wurde. Dies kann durch Ausführen des Befehls 'debug dataplane show cfg-memstat statistics' erreicht werden, der mit einer Erhöhung der Konfigurationsgröße der Firewall zusammenfiel.
Environment
- Palo Alto Firwall
- Auslastung des Konfigurationsspeichers
- Größe der Konfiguration
Procedure
- Überprüfen Sie die Auslastung des Konfigurationsspeichers der Firewall mit dem CLI-Befehl:
admin@Lab> debug dataplane show cfg-memstat statistics
Policy cache usage threshold = 100%
VSYS Config Allocator Usage : 22912KB ( 7% of 299904KB)
Es wird erwartet, dass der oben hervorgehobene Wert unter 50 % liegt. Eine Überschreitung dieses Werts führt zu einem Commit-Fehler.
- Reduzieren Sie die Anzahl der Adress -, Adressgruppen -, Service -, Service-, FQDN- und EDL-Objekte .
- Löschen Sie nicht verwendete Richtlinien wie:
- Sicherheit
- NAT
- QoS
- Richtlinienbasierte Weiterleitung
- Entschlüsselung
- Inspektion von Tunneln
- Außerkraftsetzung von Anwendungen
- Authentifizierung
- DoS-Schutz
- SD-WAN.
HINWEIS: Verwenden Sie Tipps und Tricks: So identifizieren Sie nicht verwendete Richtlinien auf einem Palo Alto Networks-Gerät, um zu bestimmen, welche verwendeten Richtlinien gelöscht werden können. Obwohl sich der Artikel auf die Sicherheitspolitik konzentriert, kann das gleiche Prinzip auch auf andere Richtlinien angewendet werden.
- Für die verwaltete Panorama-Firewall:
- Deaktivieren Sie die Option "Ungenutzte Adresse und Dienstobjekt für Geräte freigeben".
- Überprüfen Sie Ihre Gerätegruppenhierarchie: Erwägen Sie, die Firmware(n) mit geringerer Kapazitätsgrenze in eine andere Gerätegruppe einzuordnen als die Firm(en) mit einer höheren Kapazitätsgrenze.
- Wenn Sie auch nach Befolgung der oben aufgeführten Empfehlungen nicht in der Lage sind, die Konfiguration unter die Kapazitätsgrenze der Firewall zu reduzieren, sollten Sie ein Upgrade Ihrer Firewall auf eine Plattform mit höherer Kapazität in Betracht ziehen.