【paloalto】VM-Seriesにおける各設定値の上限を調べてみた

Paloalto Paloalto

VM-Seriesにおける各設定値の上限(登録できるIPアドレス数の上限など)を
Azure上で構築したVM-300、VM-500、VM-700の仮想マシンを利用して調べてみました。

広告

各設定値の上限値を確認する方法

以下のコマンドをオペレーショナルモードで実行することで各設定値の上限値を確認することができます。

show system state filter cfg.general.max*

[推奨] ページング機能の無効化

補足として、上記のコマンドを実行する前にオペレーショナルモードで「set cli pager off」を実行することで「ページング機能を無効化する」ことができ、出力結果を一気に出力することができるので便利です。

ページング機能とは、あるコマンドを実行した時の出力結果が利用しているコンソールよりも多くなってしまった場合に、すべてを一気に表示させず、出力結果を分割して表示させる機能のことで、以下の赤矢印のようにコンソール下部に「まだ続きがあるよ」といったような表示が出てきます。

ページング機能で表示されるのが便利な時もあるのですが、私は出力結果を一気に表示させたい派なので「set cli pager off」をよく利用しています。

ページング機能が有効な場合の画面表示

ちなみにページング機能が働いた場合には「Shift + Q」で抜けることが可能です。

広告

VM-Seriesの上限値

上記のコマンドを利用してAzure上で構築したVM-300、VM-500、VM-700の仮想マシンの上限値を調べてみました。

上限値の出力結果は16進数で出力されるものが多数あります

今回は矢印(⇒)の右側に10進数に変換した値も記載しています。

VM-300 の出力結果

> show system state filter cfg.general.max*

cfg.general.max-address: 10000
cfg.general.max-address-group: 0x3e8   ⇒ 1000
cfg.general.max-address-per-group: 0x9c4   ⇒ 2500
cfg.general.max-appid-pkts: 32768
cfg.general.max-appinfo2ip-entry: 32768
cfg.general.max-arp: 0x2710   ⇒ 10000
cfg.general.max-auth-policy-rule: 0x3e8   ⇒ 1000
cfg.general.max-bfd-session: 0x200   ⇒ 512
cfg.general.max-blacklist: 0x61a8   ⇒ 25000
cfg.general.max-cert-cache-entries: 0x800   ⇒ 2048
cfg.general.max-ctd-session: 0xc8002   ⇒ 819202
cfg.general.max-debug-pool: 0xca120   ⇒ 827680
cfg.general.max-di-nat-policy-rule: 3000
cfg.general.max-di-nat-pool: 4000
cfg.general.max-dip-nat-addrs: 800
cfg.general.max-dip-nat-policy-rule: 800
cfg.general.max-dns-cache: 0x124f8   ⇒ 75000
cfg.general.max-dos-policy-rule: 1000
cfg.general.max-edl-domain: 500000
cfg.general.max-edl-domain-filesize: 128000000
cfg.general.max-edl-ip: 50000
cfg.general.max-edl-ip-filesize: 6500000
cfg.general.max-edl-objs: 30
cfg.general.max-edl-url: 100000
cfg.general.max-edl-url-filesize: 25500000
cfg.general.max-fibinstance: 0xff   ⇒ 255
cfg.general.max-fibtrie-buf: 0x200000   ⇒ 2097152
cfg.general.max-fptcp-segs: 155000
cfg.general.max-ha-aa-vaddresses: 128
cfg.general.max-ha-cluster-members: 6
cfg.general.max-hip: 63
cfg.general.max-ifnet: 0x800   ⇒ 2048
cfg.general.max-ifnet-sdwan: 0x1f4   ⇒ 500
cfg.general.max-ike-peers: 1000
cfg.general.max-iot-probe-networks: 64
cfg.general.max-ip6addrtbl: 4096
cfg.general.max-ipfrags: 0x2000   ⇒ 8192
cfg.general.max-mac: 0x1388   ⇒ 5000
cfg.general.max-mroute: 0x7d0   ⇒ 2000
cfg.general.max-nat-policy-rule: 0x1388   ⇒ 5000
cfg.general.max-neigh: 10000
cfg.general.max-npb-policy-rule: 100
cfg.general.max-oride-policy-rule: 0x3e8   ⇒ 1000
cfg.general.max-parent-info: 8192
cfg.general.max-pbf-policy-rule: 500
cfg.general.max-policy-rule: 0x2710   ⇒ 10000
cfg.general.max-profile: 0x177   ⇒ 375
cfg.general.max-proxy-mem: 0xf730000   ⇒ 259194880
cfg.general.max-proxy-reverse_keys: 0x3e8   ⇒ 1000
cfg.general.max-proxy-session: 0x3a98   ⇒ 15000
cfg.general.max-proxy-timer-chunks: 0x20000   ⇒ 131072
cfg.general.max-qos-policy-rule: 1000
cfg.general.max-qosbw: 10000
cfg.general.max-qosif: 6
cfg.general.max-qosnet: 32
cfg.general.max-regions: 1024
cfg.general.max-registered-ip-address: 0x30d40   ⇒ 200000
cfg.general.max-return-mac: 0x1388   ⇒ 5000
cfg.general.max-rexmt-segs: 12000
cfg.general.max-route: 0x2710   ⇒ 10000
cfg.general.max-route4: 0x2710   ⇒ 10000
cfg.general.max-route6: 0x2710   ⇒ 10000
cfg.general.max-routing-peer: 1024
cfg.general.max-schedule: 0x100   ⇒ 256
cfg.general.max-sctp: 0x30d4   ⇒ 12500
cfg.general.max-sdwan-fec: 240
cfg.general.max-sdwan-policy-rule: 100
cfg.general.max-sdwan-saas: 100
cfg.general.max-service: 0x7d0   ⇒ 2000
cfg.general.max-service-group: 0x1f4   ⇒ 500
cfg.general.max-service-per-group: 0x1f4   ⇒ 500
cfg.general.max-sesscache-entry: 0x493e00   ⇒ 4800000
cfg.general.max-session: 0xc8002   ⇒ 819202
cfg.general.max-shared-gateway: 0
cfg.general.max-si-nat-policy-rule: 5000
cfg.general.max-signature: 0x1770   ⇒ 6000
cfg.general.max-ssh-proxy-session: 0x80   ⇒ 128
cfg.general.max-ssl-policy-rule: 0x3e8   ⇒ 1000
cfg.general.max-ssl-portal: 11
cfg.general.max-ssl-sess-cache-size: 8192
cfg.general.max-ssl-sess-cache-size-mp: 0x2004   ⇒ 8196
cfg.general.max-ssl-tunnel: 2000
cfg.general.max-sslvpn-ck-cache-size: 200
cfg.general.max-sslvpn-ck-cache-size-mp: 400
cfg.general.max-tci-policy-rule: 500
cfg.general.max-tcp-segs: 65536
cfg.general.max-threat-signature: 1000
cfg.general.max-tunnel: 0x7d0   ⇒ 2000
cfg.general.max-url-pattern: 25000
cfg.general.max-vlan: 0x1000   ⇒ 4096
cfg.general.max-vrouter: 0xa   ⇒ 10
cfg.general.max-vsys: 0x2   ⇒ 2
cfg.general.max-vwire: 0x400   ⇒ 1024
cfg.general.max-whitelist: 0x61a8   ⇒ 25000
cfg.general.max-zone: 0x28   ⇒ 40

VM-500 の出力結果

一番上のIPアドレスの上限値を見てみるとVM-300では「10,000」でしたが、VM-500では2倍の「20,000」となるなど、VM-Seriesのスペックが上がるごとに上限値も増えていることがわかります。

> show system state filter cfg.general.max*

cfg.general.max-address: 0x4e20   ⇒ 20000
cfg.general.max-address-group: 0x9c4   ⇒ 2500
cfg.general.max-address-per-group: 0x9c4   ⇒ 2500
cfg.general.max-appid-pkts: 98304
cfg.general.max-appinfo2ip-entry: 60416
cfg.general.max-arp: 0x7d00   ⇒ 32000
cfg.general.max-auth-policy-rule: 0x3e8   ⇒ 1000
cfg.general.max-bfd-session: 0x400   ⇒ 1024
cfg.general.max-blacklist: 0x61a8   ⇒ 25000
cfg.general.max-cert-cache-entries: 0x1000   ⇒ 4096
cfg.general.max-ctd-session: 0x1e8482   ⇒ 2000002
cfg.general.max-debug-pool: 0xb2e604   ⇒ 11724292
cfg.general.max-di-nat-policy-rule: 8000
cfg.general.max-di-nat-pool: 5000
cfg.general.max-dip-nat-addrs: 2000
cfg.general.max-dip-nat-policy-rule: 2000
cfg.general.max-dns-cache: 0x1e848   ⇒ 125000
cfg.general.max-dos-policy-rule: 1000
cfg.general.max-edl-domain: 2000000
cfg.general.max-edl-domain-filesize: 512000000
cfg.general.max-edl-ip: 50000
cfg.general.max-edl-ip-filesize: 6500000
cfg.general.max-edl-objs: 30
cfg.general.max-edl-url: 100000
cfg.general.max-edl-url-filesize: 25500000
cfg.general.max-fibinstance: 0xff   ⇒ 255
cfg.general.max-fibtrie-buf: 0x200000   ⇒ 2097152
cfg.general.max-fptcp-segs: 250000
cfg.general.max-ha-aa-vaddresses: 1024
cfg.general.max-ha-cluster-members: 6
cfg.general.max-hip: 63
cfg.general.max-ifnet: 0x1000   ⇒ 4096
cfg.general.max-ifnet-sdwan: 0x3e8   ⇒ 1000
cfg.general.max-ike-peers: 1000
cfg.general.max-iot-probe-networks: 128
cfg.general.max-ip6addrtbl: 4096
cfg.general.max-ipfrags: 0x4000   ⇒ 16384
cfg.general.max-mac: 0x7d00   ⇒ 32000
cfg.general.max-mroute: 0xfa0   ⇒ 4000
cfg.general.max-nat-policy-rule: 0x1f40   ⇒ 8000
cfg.general.max-neigh: 32000
cfg.general.max-npb-policy-rule: 200
cfg.general.max-oride-policy-rule: 0x3e8   ⇒ 1000
cfg.general.max-parent-info: 28672
cfg.general.max-pbf-policy-rule: 500
cfg.general.max-policy-rule: 0x2710   ⇒ 10000
cfg.general.max-profile: 0x2ee   ⇒ 750
cfg.general.max-proxy-mem: 0x26448000   ⇒ 642023424
cfg.general.max-proxy-reverse_keys: 0x3e8   ⇒ 1000
cfg.general.max-proxy-session: 0xc351   ⇒ 50001
cfg.general.max-proxy-timer-chunks: 0x20000   ⇒ 131072
cfg.general.max-qos-policy-rule: 2000
cfg.general.max-qosbw: 10000
cfg.general.max-qosif: 12
cfg.general.max-qosnet: 64
cfg.general.max-regions: 1024
cfg.general.max-registered-ip-address: 0x493e0   ⇒ 300000
cfg.general.max-return-mac: 0x3e80   ⇒ 16000
cfg.general.max-rexmt-segs: 12000
cfg.general.max-route: 0x8000   ⇒ 32768
cfg.general.max-route4: 0x8000   ⇒ 32768
cfg.general.max-route6: 0x8000   ⇒ 32768
cfg.general.max-routing-peer: 1024
cfg.general.max-schedule: 0x100   ⇒ 256
cfg.general.max-sctp: 0x7a12   ⇒ 31250
cfg.general.max-sdwan-fec: 360
cfg.general.max-sdwan-policy-rule: 300
cfg.general.max-sdwan-saas: 300
cfg.general.max-service: 0x7d0   ⇒ 2000
cfg.general.max-service-group: 0x1f4   ⇒ 500
cfg.general.max-service-per-group: 0x1f4   ⇒ 500
cfg.general.max-sesscache-entry: 0xb71b00   ⇒ 12000000
cfg.general.max-session: 0x1e8482   ⇒ 2000002
cfg.general.max-shared-gateway: 0
cfg.general.max-si-nat-policy-rule: 8000
cfg.general.max-signature: 0x1770   ⇒ 6000
cfg.general.max-ssh-proxy-session: 0x80   ⇒ 128
cfg.general.max-ssl-policy-rule: 0x3e8   ⇒ 1000
cfg.general.max-ssl-portal: 26
cfg.general.max-ssl-sess-cache-size: 25600
cfg.general.max-ssl-sess-cache-size-mp: 0x6400   ⇒ 25600
cfg.general.max-ssl-tunnel: 6000
cfg.general.max-sslvpn-ck-cache-size: 600
cfg.general.max-sslvpn-ck-cache-size-mp: 1200
cfg.general.max-tci-policy-rule: 500
cfg.general.max-tcp-segs: 65536
cfg.general.max-threat-signature: 1000
cfg.general.max-tsagents: 2000
cfg.general.max-tunnel: 0xfa0   ⇒ 4000
cfg.general.max-uid-tsagents: 2000
cfg.general.max-url-pattern: 25000
cfg.general.max-user-group: 10000
cfg.general.max-vlan: 0x1000   ⇒ 4096
cfg.general.max-vrouter: 0x14   ⇒ 20
cfg.general.max-vsys: 0x2   ⇒ 2
cfg.general.max-vsys-curl: 1000
cfg.general.max-vwire: 0x800   ⇒ 2048
cfg.general.max-whitelist: 0x61a8   ⇒ 25000
cfg.general.max-zone: 0xc8   ⇒ 200

VM-700 の出力結果

IPアドレスの上限値はVM-300では「10,000」、VM-500では「20,000」でしたが、
VM-700では「40,000」となっており、さらに上限値が増えていることがわかります。

> show system state filter cfg.general.max*

cfg.general.max-address: 0x9c40   ⇒ 40000
cfg.general.max-address-group: 0xfa0   ⇒ 4000
cfg.general.max-address-per-group: 0x9c4   ⇒ 2500
cfg.general.max-appid-pkts: 196608
cfg.general.max-appinfo2ip-entry: 500736
cfg.general.max-arp: 0x1f400   ⇒ 128000
cfg.general.max-auth-policy-rule: 0x7d0   ⇒ 2000
cfg.general.max-bfd-session: 0x400   ⇒ 1024
cfg.general.max-blacklist: 0x186a0   ⇒ 100000
cfg.general.max-cert-cache-entries: 0x2000   ⇒ 8192
cfg.general.max-ctd-session: 0x989682   ⇒ 10000002
cfg.general.max-debug-pool: 0xb2e604   ⇒ 11724292
cfg.general.max-di-nat-policy-rule: 15000
cfg.general.max-di-nat-pool: 5000
cfg.general.max-dip-nat-addrs: 2000
cfg.general.max-dip-nat-policy-rule: 2000
cfg.general.max-dns-cache: 0x3d090   ⇒ 250000
cfg.general.max-dos-policy-rule: 1000
cfg.general.max-edl-domain: 2000000
cfg.general.max-edl-domain-filesize: 512000000
cfg.general.max-edl-ip: 50000
cfg.general.max-edl-ip-filesize: 6500000
cfg.general.max-edl-objs: 30
cfg.general.max-edl-url: 100000
cfg.general.max-edl-url-filesize: 25500000
cfg.general.max-fibinstance: 0xff   ⇒ 255
cfg.general.max-fibtrie-buf: 0x2000000   ⇒ 33554432
cfg.general.max-fptcp-segs: 1185000
cfg.general.max-ha-aa-vaddresses: 4096
cfg.general.max-ha-cluster-members: 16
cfg.general.max-hip: 63
cfg.general.max-ifnet: 0x1000   ⇒ 4096
cfg.general.max-ifnet-sdwan: 0x3e8   ⇒ 1000
cfg.general.max-ike-peers: 2000
cfg.general.max-iot-probe-networks: 128
cfg.general.max-ip6addrtbl: 4096
cfg.general.max-ipfrags: 0x4000   ⇒ 16384
cfg.general.max-mac: 0x1f400   ⇒ 128000
cfg.general.max-mroute: 0xfa0   ⇒ 4000
cfg.general.max-nat-policy-rule: 0x3a98   ⇒ 15000
cfg.general.max-neigh: 128000
cfg.general.max-npb-policy-rule: 300
cfg.general.max-oride-policy-rule: 0x7d0   ⇒ 2000
cfg.general.max-parent-info: 152064
cfg.general.max-pbf-policy-rule: 2000
cfg.general.max-policy-rule: 0x4e20   ⇒ 20000
cfg.general.max-profile: 0x2ee   ⇒ 750
cfg.general.max-proxy-mem: 0x2deea0   ⇒ 3010208
cfg.general.max-proxy-mem-unit: 0x400   ⇒ 1024
cfg.general.max-proxy-reverse_keys: 0x3e8   ⇒ 1000
cfg.general.max-proxy-session: 0x186a0   ⇒ 100000
cfg.general.max-proxy-timer-chunks: 0x20000   ⇒ 131072
cfg.general.max-qos-policy-rule: 4000
cfg.general.max-qosbw: 10000
cfg.general.max-qosif: 12
cfg.general.max-qosnet: 64
cfg.general.max-regions: 1024
cfg.general.max-registered-ip-address: 0x493e0   ⇒ 300000
cfg.general.max-return-mac: 0xfa00   ⇒ 64000
cfg.general.max-rexmt-segs: 16000   ⇒ 24576
cfg.general.max-route: 0x186a0   ⇒ 100000
cfg.general.max-route4: 0x186a0   ⇒ 100000
cfg.general.max-route6: 0x186a0   ⇒ 100000
cfg.general.max-routing-peer: 1024
cfg.general.max-schedule: 0x100   ⇒ 256
cfg.general.max-sctp: 0x2625a   ⇒ 156250
cfg.general.max-sdwan-fec: 360
cfg.general.max-sdwan-policy-rule: 300
cfg.general.max-sdwan-saas: 300
cfg.general.max-service: 0x1388   ⇒ 5000
cfg.general.max-service-group: 0x1f4   ⇒ 500
cfg.general.max-service-per-group: 0x1f4   ⇒ 500
cfg.general.max-sesscache-entry: 0x9896800   ⇒ 160000000
cfg.general.max-session: 0x989682   ⇒ 10000002
cfg.general.max-shared-gateway: 0
cfg.general.max-si-nat-policy-rule: 8000
cfg.general.max-signature: 0x1770   ⇒ 6000
cfg.general.max-ssh-proxy-session: 0x1000   ⇒ 4096
cfg.general.max-ssl-policy-rule: 0x7d0   ⇒ 2000
cfg.general.max-ssl-portal: 26
cfg.general.max-ssl-sess-cache-size: 50176
cfg.general.max-ssl-sess-cache-size-mp: 0xc400   ⇒ 50176
cfg.general.max-ssl-tunnel: 12000
cfg.general.max-sslvpn-ck-cache-size: 1250
cfg.general.max-sslvpn-ck-cache-size-mp: 2500
cfg.general.max-tci-policy-rule: 2000
cfg.general.max-tcp-segs: 131072
cfg.general.max-threat-signature: 1000
cfg.general.max-tsagents: 2500
cfg.general.max-tunnel: 0x1f40   ⇒ 8000
cfg.general.max-uid-tsagents: 2500
cfg.general.max-url-pattern: 100000
cfg.general.max-user-group: 10000
cfg.general.max-vlan: 0x1000   ⇒ 4096
cfg.general.max-vrouter: 0x7d   ⇒ 125
cfg.general.max-vsys: 0x2   ⇒ 2
cfg.general.max-vsys-curl: 2000
cfg.general.max-vwire: 0x800   ⇒ 2048
cfg.general.max-whitelist: 0x186a0   ⇒ 100000
cfg.general.max-zone: 0xc8   ⇒ 200
広告

さいごに

この中では最もスペックが低いVM300でも、IPアドレスは 10,000個も登録可能なので、こういった上限に引っ掛かることはあまりないのかなとは思いました。

ただ、もし上限に到達しそうである場合には、仮想マシンのサイズを変更してスペックを1段階上位のものにする必要があるなとも思いました。

コメント

タイトルとURLをコピーしました