目次
【Paloalto】オブジェクトの上限数を確認する方法
paloalto(PA-200)で検証を行っています。今回はPaloalto(PA-200)でポリシーやオブジェクトなどの上限数を確認する方法(CLI)をまとめていきます!
- 機種はPA-200
- OSのバージョンはsw-version: 8.0.19
【CLI】コマンドでの確認方法
↓CLIでポリシーやオブジェクトなどの上限数を確認するコマンド。※show sytem stateで確認すると非常に量が多い
<オペレーションモード>
show system state filter cfg.general.max*
【Paloalto公式】What is the Command to Display System Limits?
↓出力結果 ※PA-200の場合16進数で表示されるので10進数に変換する必要がある。
test-user@PA-200-first(active)> show system state filter cfg.general.max*
cfg.general.max-address: 2500
cfg.general.max-address-group: 0xfa
cfg.general.max-address-per-group: 0x9c4
cfg.general.max-appinfo2ip-entry: 500
cfg.general.max-arp: 0x1f4
cfg.general.max-auth-policy-rule: 0x64
cfg.general.max-blacklist: 0x61a8
cfg.general.max-cert-cache-entries: 0x80
cfg.general.max-ctd-session: 0x10000
cfg.general.max-debug-pool: 393216
cfg.general.max-di-nat-policy-rule: 160
cfg.general.max-di-nat-pool: 500
cfg.general.max-dip-nat-addrs: 160
cfg.general.max-dip-nat-policy-rule: 160
cfg.general.max-dns-cache: 0x7530
cfg.general.max-dos-policy-rule: 100
cfg.general.max-fibinstance: 0xff
cfg.general.max-fibtrie-buf: 0x200000
cfg.general.max-ha-aa-vaddresses: 32
cfg.general.max-hip: 63
cfg.general.max-ifnet: 0x64
cfg.general.max-ike-peers: 1000
cfg.general.max-ip6addrtbl: 4096
cfg.general.max-ipfrags: 0x2000
cfg.general.max-mac: 0x1f4
cfg.general.max-mroute: 0x1f4
cfg.general.max-nat-policy-rule: 0xa0
cfg.general.max-neigh: 500
cfg.general.max-oride-policy-rule: 0x64
cfg.general.max-pbf-policy-rule: 100
cfg.general.max-policy-rule: 0xfa
cfg.general.max-profile: 0x4b
cfg.general.max-proxy-mem: 0xc05920
cfg.general.max-proxy-session: 0x400
cfg.general.max-qos-policy-rule: 100
cfg.general.max-qosbw: 1000
cfg.general.max-qosif: 4
cfg.general.max-qosnet: 32
cfg.general.max-regions: 1024
cfg.general.max-return-address: 0x8
cfg.general.max-rexmt-segs: 4000
cfg.general.max-route: 0x3e8
cfg.general.max-route4: 0x3e8
cfg.general.max-route6: 0x3e8
cfg.general.max-routing-peer: 500
cfg.general.max-schedule: 0x100
cfg.general.max-service: 0x3e8
cfg.general.max-service-group: 0xfa
cfg.general.max-service-per-group: 0x1f4
cfg.general.max-session: 0x10000
cfg.general.max-shared-gateway: 0
cfg.general.max-si-nat-policy-rule: 160
cfg.general.max-signature: 0x1770
cfg.general.max-ssh-proxy-session: 0x80
cfg.general.max-ssl-policy-rule: 0x64
cfg.general.max-ssl-portal: 6
cfg.general.max-ssl-sess-cache-size: 1000
cfg.general.max-ssl-tunnel: 25
cfg.general.max-sslvpn-ck-cache-size: 5
cfg.general.max-sslvpn-ck-cache-size-mp: 10
cfg.general.max-threat-signature: 1000
cfg.general.max-tunnel: 0x19
cfg.general.max-url-pattern: 25000
cfg.general.max-vlan: 0x1000
cfg.general.max-vrouter: 0x3
cfg.general.max-vsys: 0x2
cfg.general.max-vwire: 0x2
cfg.general.max-whitelist: 0x61a8
cfg.general.max-zone: 0xa
test-user@PA-200-first(active)>
参考
PA-200の場合、ポリシーの作成可能な最大上限数は250です。
【Paloalto公式】What is the Maximum Number of Rule Objects Supported?
アドレスオブジェクトの上限は2500です。(ポリシーの中で適用できるアドレスオブジェクトの上限は無限)
There is no maximum number of IP addresses or address objects in security policies.
【Paloalto公式】What is the IP Addresses/Address Objects Limit in Security Policies?
There are addresses and address group limits that are dependent on the Palo Alto Networks platforms.
まとめ
最後にまとめになります!
- 「show system state filter cfg.general.max*」で上限数を確認できる
- 上位機種になればなるほど、オブジェクトの最大上限数は増える
以上!