PaloAltoファイアウォールの設定上限値(機能制限)を知りたい
Page content
1.目的
パロアルトのファイアウォール設計で、ポリシー数やNAT設定数の上限に引っかかるケースがあったので、設定上限値を調べる方法を確認します。
2.参考
公式の関連KBは下記URLの通りです。Paloの日本語KBは自動翻訳で読みづらいので、もしGoogle検索して日本語KBを表示した場合は、URL末尾の「」を削除して再アクセスし、DeepLなどで別途翻訳した方が読みやすいと思います。
- https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CldiCAC
- https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXQCA0
3.環境
PA-220(PAN-OS 10.2.4-h4)
4.手順
下記コマンドで各種設定の上限値を調べることができます。
> show system state filter cfg.general.max*
PA-220で実行した場合の出力は以下の通りです。各設定値の意味を右側に補足しています。0x~で始まる値は16進数なので、10進数に変換する必要があります。()内に10進数、行末尾に説明(わかるところだけ)を補足しています。
なお説明については公式Docsが見当たらなかったため、推測の情報となるのでご注意ください。
> show system state filter cfg.general.max*
cfg.general.max-address: 0x9c4(2500)・・・アドレスオブジェクト数
cfg.general.max-address-group: 0xfa(250)・・・アドレスグループ数
cfg.general.max-address-per-group: 0x9c4(2500)・・・1アドレスグループのアドレスオブジェクト数
cfg.general.max-appinfo2ip-entry: 2048(2048)・・・不明
cfg.general.max-arp: 0x5dc(1500)・・・ARPエントリ数
cfg.general.max-auth-policy-rule: 500(500)・・・不明
cfg.general.max-blacklist: 0x61a8(25000)・・・不明
cfg.general.max-cert-cache-entries: 0x400(1024)・・・証明書キャッシュエントリ数?
cfg.general.max-ctd-session: 65536(65536)・・・不明
cfg.general.max-debug-pool: 393216(393216)・・・不明
cfg.general.max-di-nat-policy-rule: 400(400)・・・動的NATポリシー数
cfg.general.max-di-nat-pool: 500(500)・・・動的NATプール数
cfg.general.max-dip-nat-addrs: 200(200)・・・動的NAPTアドレス数
cfg.general.max-dip-nat-policy-rule: 200(200)・・・動的NAPTポリシー数
cfg.general.max-dns-cache: 0x400(1024)・・・DNSキャッシュエントリ数
cfg.general.max-dos-policy-rule: 100(100)・・・不明
cfg.general.max-edl-domain: 50000(50000)・・・不明
cfg.general.max-edl-domain-filesize: 6500000(6500000)・・・不明
cfg.general.max-edl-ip: 50000(50000)・・・不明
cfg.general.max-edl-ip-filesize: 6500000(6500000)・・・不明
cfg.general.max-edl-objs: 30(30)・・・不明
cfg.general.max-edl-url: 50000(50000)・・・不明
cfg.general.max-edl-url-filesize: 6500000(6500000)・・・不明
cfg.general.max-fibinstance: 0xff(255)・・・不明
cfg.general.max-fibtrie-buf: 0x200000(2097152)・・・不明
cfg.general.max-fptcp-segs: 50000(50000)・・・不明
cfg.general.max-ha-aa-vaddresses: 32(32)・・・不明
cfg.general.max-hip: 63(63)・・・不明
cfg.general.max-ifnet: 0x400(1024)・・・不明
cfg.general.max-ifnet-sdwan: 0x12c(300)・・・不明
cfg.general.max-ike-peers: 1000(1000)・・・IKEピア数
cfg.general.max-iot-probe-networks: 8(8)・・・不明
cfg.general.max-ip6addrtbl: 4096(4096)・・・不明
cfg.general.max-ipfrags: 0x2000(8192)・・・不明
cfg.general.max-mac: 0x5dc(1500)・・・不明
cfg.general.max-mroute: 0x1f4(500)・・・マルチキャストルート?
cfg.general.max-nat-policy-rule: 400(400)・・・NATポリシー数
cfg.general.max-neigh: 1500(1500)・・・不明
cfg.general.max-npb-policy-rule: 0(0)・・・不明
cfg.general.max-oride-policy-rule: 100(100)・・・不明
cfg.general.max-parent-info: 655(655)・・・不明
cfg.general.max-pbf-policy-rule: 100(100)・・・不明
cfg.general.max-policy-rule: 500(500)・・・ポリシー数
cfg.general.max-profile: 0x4b(75)・・・不明
cfg.general.max-proxy-mem: 0x1950000(26542080)・・・不明
cfg.general.max-proxy-session: 0x1900(6400)・・・プロキシセッション数
cfg.general.max-qos-policy-rule: 100(100)・・・QoSポリシー数
cfg.general.max-qosbw: 1000(1000)・・・不明
cfg.general.max-qosif: 8(8)・・・不明
cfg.general.max-qosnet: 32(32)・・・不明
cfg.general.max-regions: 1024(1024)・・・不明
cfg.general.max-registered-ip-address: 0x3e8(12884901888)・・・不明
cfg.general.max-return-address: 0x8(8)・・・不明
cfg.general.max-rexmt-segs: 8000(8000)・・・不明
cfg.general.max-route: 10000(10000)・・・ルーティングエントリ数
cfg.general.max-route4: 0x2710(10000)・・・IPv4ルーティングエントリ数
cfg.general.max-route6: 0x9c4(2500)・・・IPv6ルーティングエントリ数
cfg.general.max-routing-peer: 500(500)・・・不明
cfg.general.max-schedule: 0x100(256)・・・不明
cfg.general.max-sdwan-fec: 800(800)・・・不明
cfg.general.max-sdwan-policy-rule: 100(100)・・・不明
cfg.general.max-sdwan-saas: 200(200)・・・不明
cfg.general.max-service: 0x3e8(12884901888)・・・サービスオブジェクト数
cfg.general.max-service-group: 0xfa(250)・・・サービスグループ数
cfg.general.max-service-per-group: 0x1f4(500)・・・1サービスグループあたりのサービスオブジェクト数
cfg.general.max-session: 65536(65536)・・・セッション数
cfg.general.max-shared-gateway: 0(0)・・・不明
cfg.general.max-si-nat-policy-rule: 400(400)・・・静的NATポリシー数
cfg.general.max-signature: 0x1770(6000)・・・不明(何のSignature?)
cfg.general.max-ssh-proxy-session: 0x80(128)・・・SSHのプロキシセッション数
cfg.general.max-ssl-policy-rule: 100(100)・・・SSLポリシー数
cfg.general.max-ssl-portal: 6(6)・・・不明
cfg.general.max-ssl-sess-cache-size: 5120(5120)・・・不明
cfg.general.max-ssl-tunnel: 250(250)・・・SSLトンネル数
cfg.general.max-sslvpn-ck-cache-size: 10(10)・・・不明
cfg.general.max-sslvpn-ck-cache-size-mp: 20(20)・・・不明
cfg.general.max-tci-policy-rule: 100(100)・・・不明
cfg.general.max-threat-signature: 1000(1000)・・・不明
cfg.general.max-tunnel: 0x3e8(12884901888)・・・不明
cfg.general.max-url-pattern: 25000(25000)・・・不明
cfg.general.max-vlan: 0x1000(4096)・・・VLAN数
cfg.general.max-vrouter: 0x3(3)・・・バーチャルルータ数?
cfg.general.max-vsys: 0x2(2)・・・不明
cfg.general.max-vwire: 0x4(4)・・・不明
cfg.general.max-whitelist: 0x61a8(25000)・・・不明
cfg.general.max-zone: 0xf(15)・・・Zone数
5.まとめ
ポリシー数の上限値は意外と意識するのですが、各オブジェクトやルーティングエントリ、NAT数などは忘れてしまうこともあるので注意したいです。