如何缓解由于配置大小达到设备容量限制而导致的高配置内存使用率

如何缓解由于配置大小达到设备容量限制而导致的高配置内存使用率

19584
Created On 04/19/24 05:32 AM - Last Modified 09/25/25 04:01 AM


Objective


为了缓解配置大小达到设备容量限制导致的高配置内存使用率问题,可以通过注意到 VSYS 配置分配器使用率的增加来确定这种高配置内存使用率的根本原因。 这可以通过执行命令“debug dataplane show cfg-memstat statistics”来实现,这与防火墙配置大小的增加相吻合。
 

Environment


  • 帕洛阿尔托菲尔沃尔
  • 配置内存使用情况
  • 配置大小

Procedure


  1. 使用 CLI 命令检查防火墙的配置内存使用情况:
admin@Lab> debug dataplane show cfg-memstat statistics
Policy cache usage threshold = 100%
VSYS Config Allocator Usage   :   22912KB ( 7% of  299904KB)
上面突出显示的值预计低于 50%。 超过此值将导致提交失败。
 
  1. 减少 地址地址组服务服务组FQDNEDL 对象的数量。
  2. 删除未使用的策略,例如:
  • 安全
  • NAT 网络  
  • 服务质量
  • 基于策略的转发
  • 解密
  • 隧道巡检
  • 应用程序覆盖
  • 认证 
  • DoS 保护
  • SD-WAN。
注意:使用 提示和技巧:如何识别Palo Alto Networks设备上未使用的策略来确定可以删除哪些已使用的策略。 尽管本文重点介绍安全策略,但相同的原则可以应用于其他策略。
 
  1. 对于 Panorama 托管防火墙:
    1. 请考虑取消选中“与设备共享未使用的地址和服务对象
    2. 重新访问设备组层次结构:考虑将容量限制较小的固件置于与容量限制较高的固件不同的设备组下。
  2. 如果即使遵循上面列出的建议,也无法将配置降低到防火墙的容量限制以下,请考虑将防火墙升级到更高容量的平台。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrN8CAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language