Comment atténuer l’utilisation de la mémoire de configuration élevée en raison de l’atteinte de la limite de capacité de l’appareil par la taille de la configuration

Comment atténuer l’utilisation de la mémoire de configuration élevée en raison de l’atteinte de la limite de capacité de l’appareil par la taille de la configuration

19584
Created On 04/19/24 05:32 AM - Last Modified 09/25/25 04:01 AM


Objective


Pour atténuer le problème d’utilisation élevée de la mémoire de configuration causé par la taille de la configuration atteignant la limite de capacité de l’appareil, la cause première de cette utilisation élevée de la mémoire de configuration aurait été déterminée en remarquant une augmentation de l’utilisation de l’allocateur de configuration VSYS. Cela peut être réalisé en exécutant la commande « debug dataplane show cfg-memstat statistics », qui a coïncidé avec une augmentation de la taille de configuration du pare-feu.
 

Environment


  • Palo Alto Firwall
  • Utilisation de la mémoire de configuration
  • Taille de la configuration

Procedure


  1. Vérifiez l'utilisation de la mémoire de configuration du pare-feu à l'aide de la commande CLI :
admin@Lab> debug dataplane show cfg-memstat statistics
Policy cache usage threshold = 100%
VSYS Config Allocator Usage   :   22912KB ( 7% of  299904KB)
La valeur mise en surbrillance ci-dessus devrait être inférieure à 50 %. Le dépassement de cette valeur entraînera l’échec de la validation.
 
  1. Réduisez le nombre d’objets Adresse , Groupe d’adresses , Service , Groupe de services , FQDN et EDL .
  2. Supprimez les stratégies inutilisées telles que :
  • Sécurité
  • NAT  
  • QoS (QoS)
  • Transfert basé sur des règles
  • Décryptage
  • Inspection des tunnels
  • Remplacement de l’application
  • Authentification 
  • Protection contre les attaques par déni de service
  • SD-WAN.
REMARQUE : Utilisez Trucs et astuces : Comment identifier les stratégies inutilisées sur un périphérique Palo Alto Networks pour déterminer quelles stratégies utilisées peuvent être supprimées. Bien que l’article se concentre sur la politique de sécurité, le même principe peut être appliqué à d’autres politiques.
 
  1. Pour le pare-feu géré par Panorama :
    1. Envisagez de décocher la case « Partager l’adresse et l’objet de service inutilisés avec les appareils »
    2. Revoyez la hiérarchie de votre groupe de périphériques : envisagez de placer le ou les micrologiciels avec une limite de capacité inférieure dans un groupe de périphériques différent de celui du ou des micrologiciels avec une limite de capacité plus élevée.
  2. Si, même après avoir suivi les recommandations énumérées ci-dessus, vous ne parvenez pas à réduire la configuration en dessous de la limite de capacité du pare-feu, envisagez de mettre à niveau votre pare-feu vers une plate-forme de capacité supérieure.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrN8CAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language