構成サイズがデバイス容量の上限に達したことによる高構成メモリ使用量を軽減する方法

構成サイズがデバイス容量の上限に達したことによる高構成メモリ使用量を軽減する方法

19650
Created On 04/19/24 05:32 AM - Last Modified 09/25/25 04:01 AM


Objective


設定サイズがデバイス容量制限に達することによる設定メモリの使用率が高いという問題を軽減するために、この高い設定メモリ使用量の根本原因は、 VSYS設定アロケータの使用量の増加に気づくことで特定されます。 これは、ファイアウォールの設定サイズの増加と同時にコマンド「debug dataplane show cfg-memstat statistics」を実行することで実現できます。
 

Environment


  • パロアルトファーウォール
  • 構成メモリ使用量
  • 構成サイズ

Procedure


  1. CLIコマンドを使用して、ファイアウォールの設定メモリ使用量を確認します。
admin@Lab> debug dataplane show cfg-memstat statistics
Policy cache usage threshold = 100%
VSYS Config Allocator Usage   :   22912KB ( 7% of  299904KB)
上記の強調表示された値は、50%未満であると予想されます。 この値を超えると、コミットが失敗します。
 
  1. アドレスアドレスグループサービスサービスグループ、FQDNEDLオブジェクトの数を減らします。
  2. 次のような未使用のポリシーを削除します。
  • セキュリティ
  • NAT (英語)  
  • QoS (英語)
  • ポリシーベース転送
  • 復号化
  • トンネル点検
  • アプリケーションのオーバーライド
  • 認証 
  • DoSプロテクション
  • SD-WAN.
: 「 Tips & Tricks: How to Identify Unused Policies on a Palo Alto Networks Device」を使用して、削除できる使用済みポリシーを決定します。 この記事ではセキュリティ ポリシーに焦点を当てていますが、同じ原則を他のポリシーにも適用できます。
 
  1. Panorama マネージド ファイアウォールの場合:
    1. Share Unused Address and Service Object with Devices」のチェックを外すことを検討してください。
    2. デバイス・グループ階層を再検討する:容量制限の少ないFWを、容量制限の高いFWとは異なるデバイス・グループに配置することを検討してください。
  2. 上記の推奨事項に従った後でも、ファイアウォールの容量制限を下回る構成を減らすことができない場合は、ファイアウォールを大容量のプラットフォームにアップグレードすることを検討してください。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrN8CAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language