So reduzieren Sie die ARP Tabellengröße

• Um die maximale Anzahl von ARP Einträgen zu bestimmen, die a Firewall verarbeiten kann, überprüfen Sie seine Kapazität in Bezug auf die ARP Tabellengröße .
• Um zu überprüfen und zu bestätigen, ob die Firewall ARP Tischkapazität erreicht ist
• Zum Implementieren von Lösungen, die die Größe der ARP Tabelle reduzieren können.

• Palo Alto Firewalls
• Unterstützt PAN-OS.
• Maximale Anzahl gleichzeitiger Entschlüsselungssitzungen

1. Überprüfen Sie die maximale Kapazität der ARP Tabelle für Ihre Firewall.
   1. Verwendung Firewall CLI:

show system state filter cfg.general.max* | match arp

        Note: In case the value is listed in hexadecimal format 0x then it needs to be converted to decimal. 
                 Most recent platforms and PAN-OS versions will list the value in decimal.

2. Klicken Sie auf der Webseite Produktauswahl unter Ihrem Plattformnamen auf Mehr anzeigen, um die maximale ARP Tabelle zu finden.
3. Informationen zu VM-Serien Firewall finden Sie unter Maximale Grenzwerte basierend auf Tier und Arbeitsspeicher .

2. Wie kann I festgestellt werden, ob Palo Alto Networks Firewall die maximale Anzahl von ARP Einträgen erreicht?
3. Es gibt mehrere Möglichkeiten, die Größe der ARP Tabelle in einem Netzwerkgerät zu reduzieren, darunter:
   1. Stellen Sie sicher, dass Ihr Routing immer über einen Next-Hop-Eintrag verfügt, unabhängig davon, ob es sich um ein statisches oder dynamisches Routing handelt. Verwenden Sie Verhindern, dass unerwünschte Einträge die Tabelle füllen ARP , um eine Anleitung zu erhalten.
   2. Reduzieren Sie das ARP Timeout von seinem Standardwert von 1800 Sekunden
      1. Überprüfen Sie erneut, ob die aktuelle Timeout-Einstellung

> show arp all

2. Ändern der ARP Timeout-Einstellung

> set system setting arp-cache-timeout <60-65535>

> show arp all

3. Implementieren Sie VLANs im Netzwerk/in den angeschlossenen Switches: VLANs tragen dazu bei, die Größe der ARP Tabelle zu reduzieren, indem sie das Netzwerk segmentieren.  ARP Tabelle müssen nur für Geräte innerhalb von VLANgepflegt werden.
4. Vermeiden Sie eine direkte Layer-3-Konnektivität zwischen dem und dem firewall Host/Server. Dies erfordert, dass die Anzahl der Einträge wie die firewall Anzahl ARP der direkt verbundenen Hosts/Server beibehalten wird.Haben Sie stattdessen einen Router zwischen den und den firewall Hosts/Servern. Sie firewall müssen jetzt nur noch einen ARP Eintrag für den Router lernen und pflegen, unabhängig von der Anzahl der Hosts/Server, die mit dem Netzwerk verbunden sind.

4. Wenn die Anzahl der ARP Einträge nicht unter die Kapazitätsgrenze reduziert werden kann, nachdem Sie die oben genannten Empfehlungen befolgt haben, sollten Sie FW ein Upgrade auf eine Plattform mit höherer Kapazität in Betracht ziehen.