Comment réduire la taille de la ARP table

• Pour déterminer le nombre maximal d’entrées qu’un ARP Firewall peut gérer, vérifiez sa capacité en termes de taille de ARP table .
• Pour vérifier et confirmer si le Firewall a atteint sa capacité de ARP table
• Mettre en œuvre des solutions qui peuvent réduire la taille de la ARP table.

• Pare-feu Palo Alto
• Pris en charge PAN-OS.
• Nombre maximal de sessions de déchiffrement simultanées

1. Vérifiez la capacité maximale de la ARP table pour votre Firewall.
   1. Utilisation Firewall CLI:

show system state filter cfg.general.max* | match arp

        Note: In case the value is listed in hexadecimal format 0x then it needs to be converted to decimal. 
                 Most recent platforms and PAN-OS versions will list the value in decimal.

2. Utilisez la page Web Sélection de produits, cliquez sur Afficher plus sous le nom de votre plate-forme pour trouver le ARP tableau maximum.
3. Pour VM-les séries Firewall , reportez-vous à la section Limites maximales basées sur le niveau et la mémoire .

2. Utilisez Comment déterminer I si les réseaux Firewall de Palo Alto atteignent la limite maximale d’entrées ARP ?
3. Il existe plusieurs façons de réduire la taille de la ARP table dans un périphérique réseau, notamment :
   1. Vérifiez que votre routage comporte toujours une entrée Saut suivant, qu’il s’agisse d’un routage statique ou dynamique. Utilisez Empêcher les entrées indésirables de remplir le tableau pour obtenir des ARP instructions.
   2. Réduisez le ARP délai d'expiration par rapport à sa valeur par défaut de 1800 secondes
      1. Vérifiez à nouveau que le paramètre de délai d’expiration actuel

> show arp all

2. Modifier le paramètre de ARP délai d’expiration

> set system setting arp-cache-timeout <60-65535>

> show arp all

3. Mettre en œuvre des VLAN dans le réseau/les commutateurs connectés : les VLAN permettent de réduire la taille de la ARP table en segmentant le réseau.  ARP La table ne doit être maintenue que pour les périphériques dans VLAN.
4. Évitez la connectivité directe de couche 3 entre l’hôte et le firewall serveur. Cela nécessitera que le pour maintenir le même nombre d’entrées que le firewall nombre d’hôtes ARP /serveurs directement connectés.Au lieu de cela, ayez un routeur entre les firewall hôtes / serveurs et . Il firewall suffit maintenant d’apprendre et de maintenir une ARP entrée pour le routeur, quel que soit le nombre d’hôtes / serveurs connectés au réseau.

4. Si le nombre d’entrées ne peut pas être réduit en dessous de la limite de capacité après avoir suivi les recommandations ci-dessus, envisagez de mettre à niveau votre FW plate-forme vers une plate-forme de ARP capacité supérieure.