Comment faire pour réduire le nombre de tunnels IPSec de site à site configurés sur le Firewall

Comment faire pour réduire le nombre de tunnels IPSec de site à site configurés sur le Firewall

11009
Created On 03/23/23 17:57 PM - Last Modified 11/29/23 17:27 PM


Objective


  • Vérifiez la capacité maximale du Firewall dans le nombre de tunnels IPSec de site à site.
  • Vérifiez le nombre actuel de tunnels IPSec de site à site configurés sur le Firewall.
  • Réduisez les tunnels IPSec de site à site d’un Firewall.
  • Réduisez le site au site des tunnels IPSec d’un Panorama Firewallfichier .

Environment


  • NGFW
  • Tunnels IPSec de site à site

Procedure


  1. Vérifiez la capacité maximale des tunnels IPSec de site à site pour votre Firewallfichier .
    1. Utilisation Firewall CLI:
      show system state filter cfg.general.max* | match max-tunnel
      1. Remarque: Si la valeur est répertoriée au format hexadécimal 0x, elle doit être convertie en décimale. Les plates-formes et PAN-OS versions les plus récentes répertorient la valeur en décimales.
    2. Utilisez la page Web Sélection de produits, cliquez sur Afficher plus sous le nom de votre plate-forme pour trouver le maximum de site à site (avec ID de proxy).
    3. Pour VM-les séries Firewall, voir Limites maximales basées sur le niveau et la mémoire.
  2. Comptez le nombre actuel de tunnels IPSec de site à site à partir de tunnels IPSec > NETWORK  :
    1. Vérifiez le nombre d’articles :Comment vérifier le nombre d’éléments pour le tunnel IPSec configuré.
    2. Si vous avez configuré des ID proxy sous la fenêtre Tunnel IPSec > ID de proxy, chaque proxy ID configuré sera compté comme un tunnel IPSec de site à site. Par conséquent, si un tunnel IPSec a n ID proxy configurés, vous devez ajouter (n-1) au nombre d’éléments répertoriés dans 2.a et répéter la même chose pour chaque tunnel IPSec configuré avec des ID proxy pour calculer le total des tunnels IPSec de site à site configurés sur votre FW.
  3. Pour les gérés localement Firewall:
    1. Supprimez les tunnels IPSec inutilisés configurés sous NETWORK > Tunnels IPSec.
    2. Supprimez les ID de proxy inutilisés configurés sous NETWORK > Tunnels IPSec > ID de proxy.
    3. SuperNet ID proxy configurés sous NETWORK > Tunnels IPSec > ID proxy. Chaque entrée proxy ID est comptabilisée dans le nombre total de tunnel IPSec de site à site, envisagez d’utiliser 10.0.0.0/8 au lieu de 10.1.0.0/16 et 10.2.0.0/16.
  4. Pour Panorama les managés Firewall:
    1. Revoyez votre hiérarchie de groupes d’appareils : envisagez de placer le ou les groupes d’appareils avec une limite de capacité inférieure sous un groupe d’appareils FWdifférent de celui du ou des FWgroupes avec une limite de capacité plus élevée.
    2. Supprimez les tunnels IPSec inutilisés configurés sous Groupes de périphériques > > NETWORK  Tunnels IPSec.
    3. Réduisez le nombre d’ID proxy configurés sous NETWORK > tunnels IPSec > ID proxy.
  5. Si, même après avoir suivi la recommandation ci-dessus, vous n’êtes pas en mesure de réduire le nombre de tunnels IPSec de site à site en dessous de la limite de capacité du , envisagez de mettre à niveau votre FW plate-forme vers une plate-forme de FW capacité supérieure.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kHTrCAM&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language