Cómo reducir el número de túneles IPSec de sitio a sitio configurados en el Firewall

Cómo reducir el número de túneles IPSec de sitio a sitio configurados en el Firewall

10999
Created On 03/23/23 17:57 PM - Last Modified 11/29/23 17:27 PM


Objective


  • Compruebe la capacidad máxima del Firewall número de túneles IPSec de sitio a sitio.
  • Compruebe el número actual de túneles IPSec de sitio a sitio configurados en el Firewall.
  • Reduzca los túneles IPSec de sitio a sitio de un Firewallarchivo .
  • Reducir los túneles IPSec de sitio a sitio de un Panorama archivo .Firewall

Environment


  • NGFW
  • Túneles IPSec de sitio a sitio

Procedure


  1. Compruebe la capacidad máxima de los túneles IPSec de sitio a sitio para su Firewallarchivo .
    1. Uso Firewall CLI:
      show system state filter cfg.general.max* | match max-tunnel
      1. Nota: En caso de que el valor aparezca en formato hexadecimal 0x, debe convertirse a decimal. Las plataformas y PAN-OS versiones más recientes mostrarán el valor en decimal.
    2. Utilice la página web Selección de productos y haga clic en Mostrar más debajo del nombre de su plataforma para buscar el número máximo de sitio a sitio (con ID de proxy).
    3. Para VM-ver Series Firewall, consulte Límites máximos basados en niveles y memoria.
  2. Cuente el número actual de túneles IPSec de sitio a sitio desde NETWORK > túneles IPSec:
    1. Compruebe el número de artículos:Cómo comprobar el número de elementos para el túnel IPSec configurado.
    2. Si ha configurado ID de proxy en la ventana Túnel IPSec > ID de proxy, cada proxy ID configurado se contará como un túnel IPSec de sitio a sitio. Por lo tanto, si un túnel IPSec tiene n ID de proxy configurados, debe agregar (n-1) al número de elementos enumerados en 2.a y repetir lo mismo para cada túnel IPSec configurado con ID de proxy para calcular el total de túneles IPSec de sitio a sitio configurados en su FW.
  3. Para la gestión local: Firewall
    1. Elimine los túneles IPSec no utilizados configurados en NETWORK  > túneles IPSec.
    2. Elimine los ID de proxy no utilizados configurados en NETWORK  > Túneles IPSec > ID de proxy.
    3. SuperNet los ID de proxy configurados en NETWORK > túneles IPSec > ID de proxy. Cada entrada de proxy se cuenta para el número total de túnel IPSec de sitio a sitio, considere usar 10.0.0.0/8 en lugar de ID 10.1.0.0/16 y 10.2.0.0/16.
  4. Para Panorama gestionar: Firewall
    1. Revise la jerarquía de grupos de dispositivos: considere colocar los (los FW) con menor límite de capacidad en un grupo de dispositivos diferente al FW(los) con un límite de capacidad más alto.
    2. Elimine los túneles IPSec no utilizados configurados en Grupos de dispositivos > > NETWORK  Túneles IPSec.
    3. Reduzca el número de ID de proxy configurados en NETWORK  > túneles IPSec > ID de proxy.
  5. Si, incluso después de seguir la recomendación mencionada anteriormente, no puede reducir el número de túneles IPSec de sitio a sitio por debajo del límite de capacidad del sitio, considere actualizar FW su FW plataforma a una plataforma de mayor capacidad.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kHTrCAM&lang=es%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language