Cómo reducir el tamaño de la ARP tabla

• Para determinar el número máximo de entradas que un Firewall puede manejar, compruebe su capacidad en términos de tamaño de ARP ARP tabla.
• Para comprobar y confirmar si el ha alcanzado su capacidad de Firewall ARP tabla
• Implementar soluciones que puedan reducir el tamaño de la ARP tabla.

• Palo Alto Firewalls
• Soportado PAN-OS.
• Número máximo de sesiones de descifrado simultáneas

1. Compruebe la capacidad máxima de ARP la tabla para su Firewallarchivo .
   1. Uso Firewall CLI:

show system state filter cfg.general.max* | match arp

        Note: In case the value is listed in hexadecimal format 0x then it needs to be converted to decimal. 
                 Most recent platforms and PAN-OS versions will list the value in decimal.

2. Utilice la página web Selección de productos y haga clic en Mostrar más debajo del nombre de su plataforma para encontrar la ARP tabla máxima.
3. Para VM-ver Series Firewall , consulte Límites máximos basados en niveles y memoria .

2. Use ¿Cómo se puede I determinar si Palo Alto Networks Firewall está alcanzando el límite máximo de ARP entradas?
3. Hay varias maneras de reducir el tamaño de la ARP tabla en un dispositivo de red, incluyendo:
   1. Compruebe que el enrutamiento siempre tiene una entrada de salto siguiente, independientemente de si se trata de un enrutamiento estático o dinámico. Utilice Detener entradas no deseadas para que no rellenen la ARP tabla como guía.
   2. Reducir el ARP tiempo de espera de su valor predeterminado de 1800 segundos
      1. Comprobar una vez más que la configuración de tiempo de espera actual

> show arp all

2. Cambiar la configuración de tiempo de ARP espera

> set system setting arp-cache-timeout <60-65535>

> show arp all

3. Implementar VLAN en la red/switches conectados: Las VLAN ayudan a reducir el tamaño de la tabla segmentando la ARP red.  ARP La tabla solo debe mantenerse para los dispositivos dentro de VLAN.
4. Evite la conectividad directa de capa 3 entre el y el firewall host/servidor. Esto requerirá que se mantenga la misma cantidad de entradas que firewall el número de ARP hosts/servidores conectados directamente.En su lugar, tenga un enrutador entre los firewall hosts / servidores. Ahora firewall solo necesita aprender y mantener una ARP entrada para el enrutador, independientemente de la cantidad de hosts / servidores conectados a la red.

4. Si el número de entradas no se puede reducir por debajo del límite de capacidad después de seguir las recomendaciones anteriores, considere la posibilidad de actualizar a FW una plataforma de ARP mayor capacidad.