So reduzieren Sie die Anzahl der Site-to-Site-IPSec-Tunnel, die auf dem Firewall

So reduzieren Sie die Anzahl der Site-to-Site-IPSec-Tunnel, die auf dem Firewall

10995
Created On 03/23/23 17:57 PM - Last Modified 11/29/23 17:27 PM


Objective


  • Überprüfen Sie die maximale Kapazität der in der Anzahl der Firewall Standort-zu-Standort-IPSec-Tunnel.
  • Überprüfen Sie die aktuelle Anzahl der konfigurierten Site-to-Site-IPSec-Tunnel auf .Firewall
  • Reduzieren Sie die Site-to-Site-IPSec-Tunnel einer lokal verwalteten Firewall.
  • Reduzieren Sie die Site-to-Site-IPSec-Tunnel einer Panorama verwalteten Firewall.

Environment


  • NGFW
  • Standort-zu-Standort-IPSec-Tunnel

Procedure


  1. Überprüfen Sie die maximale Kapazität von Site-to-Site-IPSec-Tunneln für .Firewall
    1. Verwendung Firewall CLI:
      show system state filter cfg.general.max* | match max-tunnel
      1. Hinweis: Falls der Wert im Hexadezimalformat 0x aufgeführt ist, muss er in Dezimalzahlen konvertiert werden. Die neuesten Plattformen und PAN-OS Versionen listen den Wert in Dezimalzahlen auf.
    2. Klicken Sie auf der Webseite "Produktauswahl" unter Ihrem Plattformnamen auf "Mehr anzeigen", um die maximale Anzahl von Site zu Site (mit Proxy-ID) zu finden.
    3. Informationen zu VM-Serien Firewall finden Sie unter Maximale Grenzwerte basierend auf Ebene und Speicher.
  2. Zählen Sie die aktuelle Anzahl der Standort-zu-Standort-IPSec-Tunnel von NETWORK > IPSec-Tunneln:
    1. Überprüfen Sie die Anzahl der Elemente:Überprüfen der Anzahl der Elemente für den konfigurierten IPSec-Tunnel.
    2. Wenn Sie Proxy-IDs im Fenster IPSec-Tunnel > Proxy-IDs konfiguriert haben, wird jeder konfigurierte Proxy ID als Site-to-Site-IPSec-Tunnel gezählt. Wenn also für einen IPSec-Tunnel n Proxy-IDs konfiguriert sind, müssen Sie (n-1) zu der Anzahl der in 2.a aufgeführten Elemente addieren und dasselbe für jeden IPSec-Tunnel wiederholen, der mit Proxy-IDs konfiguriert ist, um die Gesamtzahl der Site-to-Site-IPSec-Tunnel zu berechnen, die auf Ihrem FWkonfiguriert sind.
  3. Für lokal verwaltete Firewall:
    1. Löschen Sie die nicht verwendeten IPSec-Tunnel, die unter NETWORK > IPSec-Tunnel konfiguriert sind.
    2. Löschen Sie die nicht verwendeten Proxy-IDs, die unter NETWORK > IPSec-Tunnel > Proxy-IDs konfiguriert sind.
    3. SuperNet die Proxy-IDs, die unter NETWORK > IPSec-Tunnel > Proxy-IDs konfiguriert sind. Jeder Proxyeintrag ID wird auf die Gesamtzahl der Site-to-Site-IPSec-Tunnel angerechnet. Erwägen Sie die Verwendung von 10.0.0.0/8 anstelle von 10.1.0.0/16 und 10.2.0.0/16.
  4. Für Panorama verwaltete Firewall:
    1. Überprüfen Sie Ihre Gerätegruppenhierarchie: Erwägen Sie, die (s) mit einer geringeren Kapazitätsgrenze unter eine andere Gerätegruppe zu stellen als die FWFW(s) mit einer höheren Kapazitätsgrenze.
    2. Löschen Sie die nicht verwendeten IPSec-Tunnel, die unter Gerätegruppen > > NETWORK  IPSec-Tunnel konfiguriert sind.
    3. Reduzieren Sie die Anzahl der Proxy-IDs, die unter NETWORK > IPSec-Tunnel > Proxy-IDs konfiguriert sind.
  5. Wenn Sie auch nach Befolgung der oben aufgeführten Empfehlung nicht in der Lage sind, die Anzahl der Standort-zu-Standort-IPSec-Tunnel unter die Kapazitätsgrenze des zu reduzieren, FW sollten Sie ein FW Upgrade auf eine Plattform mit höherer Kapazität in Betracht ziehen.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kHTrCAM&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language