So reduzieren Sie die Anzahl der Servicegruppenobjekte, die auf dem Firewall

So reduzieren Sie die Anzahl der Servicegruppenobjekte, die auf dem Firewall

8021
Created On 03/21/23 16:50 PM - Last Modified 11/29/23 17:31 PM


Objective


  • Prüfen Sie die maximale Kapazität der Firewall in der Anzahl der Servicegruppenobjekte.
  • Überprüfen Sie die aktuelle Anzahl der konfigurierten Servicegruppenobjekte auf .Firewall
  • Reduzieren Sie die Anzahl der Servicegruppenobjekte einer lokal verwalteten Firewall.
  • Reduzieren Sie die Servicegruppenobjekte einer verwalteten Panorama Firewall.

Environment


  • NGFW
  • Service group-Objekte

Procedure


  1. Überprüfen Sie die maximale Kapazität von Servicegruppenobjekten für Ihre Firewall.
    1. Verwendung Firewall CLI:
      show system state | match cfg.general.max-service-group
      1. Hinweis: Falls der Wert im Hexadezimalformat 0x aufgeführt ist, muss er in Dezimalzahlen konvertiert werden. Die neuesten Plattformen und PAN-OS Versionen listen den Wert in Dezimalzahlen auf.
    2. Klicken Sie auf der Webseite "Produktauswahl" unter Ihrem Plattformnamen auf "Mehr anzeigen", um die maximale Anzahl von Servicegruppen zu finden.
    3. Informationen zu VM-Serien Firewall finden Sie unter Maximale Grenzwerte basierend auf Ebene und Speicher.
  2. Überprüfen Sie die aktuelle Anzahl von Servicegruppenobjekten aus OBJECTS > Servicegruppen.
So überprüfen Sie die Anzahl der aktuell konfigurierten Servicegruppenobjekte.
Hinweis: Wenn es sich um mehrere vsys handelt, müssen Sie die Anzahl der Elemente addieren, die unter jedem vsys aufgelistet sind, um FW die Gesamtzahl der Servicegruppenobjekte zu erhalten, die auf dem FWkonfiguriert sind.
  1. Für lokal verwaltete Firewall:
    1. Löschen Sie die nicht verwendeten Servicegruppenobjekte, die unter OBJECTS > Servicegruppen konfiguriert sind.
    2. Erwägen Sie ggf. die Zusammenlegung von Dienstgruppen unter Berücksichtigung der FW maximalen Anzahl von Mitgliedern pro Dienstgruppe.
  2. Für Panorama verwaltete Firewall:
    1. Erwägen Sie, die Option "Nicht verwendete Adress- und Dienstobjekte mit Geräten teilen" zu deaktivieren.
    2. Überprüfen Sie Ihre Gerätegruppenhierarchie: Erwägen Sie, die (s) mit einer geringeren Kapazitätsgrenze unter eine andere Gerätegruppe zu stellen als die FWFW(s) mit einer höheren Kapazitätsgrenze.
    3. Verringern Sie die Anzahl der Servicegruppenobjekte, die unter Gerätegruppen > > OBJECTS Servicegruppen konfiguriert sind.
  3. Wenn Sie auch nach Befolgung der oben aufgeführten Empfehlung nicht in der Lage sind, die Anzahl der Servicegruppenobjekte unter die Kapazitätsgrenze des zu reduzieren, FW sollten Sie ein Upgrade auf FW eine Plattform mit höherer Kapazität in Betracht ziehen.
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kHRbCAM&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language