现有一台深信服防火墙AF，内网口上启用多个vlan接口，每个vlan接口为该各自网段的网关，测试时总用户数大概在2000左右，正式上线后总用户数在7000左右。

测试时，使用一切正常，CPU利用率低于10%，内存利用率低于30%，网络也都正常。

但是用户陆续开机上线后，发现部分用户网络不通，到网关（防火墙上vlan接口）都不通。

在深信服AF上查看arp，发现总数是4095，与研发确认，发现深信服AF上arp表总数就是4096个，也就是在这种场景下，总用户也只能达到4000多点。

与研发商量后，预计要做定制包实现，但是用户强烈要求当天解决，后来多名研发确认只需要修改AF后台的某个参数即可实现对限制的放开，且修改该参数不影响业务。

对主备两台参数分别修改为20000后，已正常使用。

截止目前最新的AF版本8.0.26，都存在这个问题。当然在大规模的网络中，一般也很少会将内网用户的网关都启用在防火墙上，更多是将网关放在核心交换机上。对于这种少见的特殊的部署场景才将这个问题暴露了出来。

另外深信服AF的arp老化时间是15秒，且无法修改。并且AF上的vlan数量也有限制，限制为256个vlan，dhcp地址池也有限制，限制为1万个。不过对于vlan数量以及dhcp地址池的限制可以通过定制来解决。

具体修改方法，参见：修改linux系统的arp缓存数量的方法。