如何减少配置的站点到站点 IPSec 隧道的数量 Firewall
10987
Created On 03/23/23 17:57 PM - Last Modified 11/29/23 17:27 PM
Objective
- 检查最大容量Firewall在数量站点到站点 IPSec 隧道.
- 查看当前配置的数量站点到站点 IPSec 隧道在Firewall.
- 减少站点到站点 IPSec 隧道本地管理的Firewall.
- 减少站点到站点 IPSec 隧道的Panorama管理Firewall.
Environment
- NGFW
- 站点到站点 IPSec 隧道
Procedure
- 检查最大容量站点到站点 IPSec 隧道为您Firewall.
- 使用FirewallCLI:
show system state filter cfg.general.max* | match max-tunnel
- 笔记:如果该值以十六进制格式 0x 列出,则需要将其转换为十进制。 最近的平台和PAN-OS版本将以十进制列出值。
- 使用产品选择网页点击展示更多在您的平台名称下找到最大值站点到站点(使用代理 ID)。
- 为了VM-系列Firewall看基于层和内存的最大限制.
- 使用FirewallCLI:
- 统计当前人数站点到站点 IPSec 隧道从NETWORK> IPSec 隧道:
- 检查数量项目:
- 如果您在下面配置了代理 ID IPSec 隧道窗口 > 代理 ID , 那么每个 ProxyID配置的将被计为站点到站点 IPSec 隧道。 所以如果 IPSec 隧道有n配置了代理 ID,然后您需要添加 ( n -1) 到的数量项目在 2.a 中列出并为每个配置有代理 ID 的 IPSec 隧道重复相同的操作,以计算在您的设备上配置的站点到站点 IPSec 隧道总数FW.
- 检查数量项目:
- 为了本地管理Firewall:
- 删除下配置的未使用的 IPSec 隧道NETWORK> IPSec 隧道。
- 删除下配置的未使用的代理 IDNETWORK > IPSec 隧道 > 代理 ID。
- SuperNet下配置的Proxy IDsNETWORK > IPSec 隧道 > 代理 ID。每个代理ID条目计入站点到站点 IPSec 隧道的总数,请考虑使用 10.0.0.0/8 而不是 10.1.0.0/16 和 10.2.0.0/16。
- 为了Panorama管理Firewall:
- 重新审视您的设备组层次结构:考虑将FW(s) 在不同设备组下的容量限制小于FW(s) 具有更高的容量限制。
- 删除下配置的未使用的 IPSec 隧道设备组 >NETWORK > IPSec 隧道。
- 减少在下面配置的代理 ID 的数量NETWORK> IPSec 隧道 > 代理 ID。
- 如果即使遵循上面列出的建议,您仍无法将站点到站点 IPSec 隧道的数量减少到容量限制以下FW然后考虑升级你的FW到更高容量的平台。