Cómo mitigar el uso de memoria de configuración alta debido a que el tamaño de la configuración alcanza el límite de capacidad del dispositivo

Cómo mitigar el uso de memoria de configuración alta debido a que el tamaño de la configuración alcanza el límite de capacidad del dispositivo

19584
Created On 04/19/24 05:32 AM - Last Modified 09/25/25 04:01 AM


Objective


Para mitigar el problema del uso elevado de la memoria de configuración causado por el tamaño de la configuración que alcanza el límite de capacidad del dispositivo, la causa principal de este uso elevado de la memoria de configuración se habría determinado al notar un aumento en el uso del asignador de configuración de VSYS. Esto se puede lograr ejecutando el comando 'debug dataplane show cfg-memstat statistics', que coincidió con un aumento en el tamaño de configuración del Firewall.
 

Environment


  • Muro de abeto de Palo Alto
  • Uso de memoria de configuración
  • Tamaño de la configuración

Procedure


  1. Verifique el uso de la memoria de configuración del firewall mediante el comando CLI:
admin@Lab> debug dataplane show cfg-memstat statistics
Policy cache usage threshold = 100%
VSYS Config Allocator Usage   :   22912KB ( 7% of  299904KB)
Se espera que el valor resaltado por encima esté por debajo del 50%. Si se supera este valor, se producirá un error de confirmación.
 
  1. Reduzca el número de objetos de dirección , grupo de direcciones , servicio , grupo de servicios , FQDN y EDL .
  2. Elimine las políticas no utilizadas como:
  • Seguridad
  • NAT  
  • QoS
  • Reenvío basado en políticas
  • Descifrado
  • Inspección de túneles
  • Anulación de la aplicación
  • Autenticación 
  • Protección DoS
  • SD-WAN.
NOTA: Utilice Consejos y trucos: Cómo identificar políticas no utilizadas en un dispositivo de Palo Alto Networks para determinar qué políticas usadas se pueden eliminar. Aunque el artículo se centra en la política de seguridad, el mismo principio se puede aplicar a otras directivas.
 
  1. Para el firewall administrado por Panorama:
    1. Considere la posibilidad de desmarcar "Compartir dirección y objeto de servicio no utilizados con dispositivos"
    2. Revise la jerarquía de grupos de dispositivos: considere la posibilidad de colocar los FW con un límite de capacidad menor en un grupo de dispositivos diferente al de los FW con un límite de capacidad más alto.
  2. Si, incluso después de seguir las recomendaciones enumeradas anteriormente, no puede reducir la configuración por debajo del límite de capacidad del firewall, considere la posibilidad de actualizar su firewall a una plataforma de mayor capacidad.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrN8CAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language