PAN-OS 7,1 per VLAN-Spannbaum (PVST +) BPDU Rewrite

Vor PAN-OS 7,1 lief der Einsatz der Firewall im Layer2 VLAN Bridge-Modus manchmal in spannenden Baum Problemen mit PerVLAN-Spann Baum (PVST +), der auf den umgebenden L2-Schaltern aktiviert war. Da die Firewall VLAN-Neufassung für PVST + BPDUs nicht unterstützt und diese zwischen den VLANs überschwemmt hat, würde der empfangende Schalter einen "PVID-inkonsistenten" Fehler erkennen und die Baum Schleifen Erkennung durchbrechen.

Mit PAN-OS 7,1 und später wird per VLAN-Spannbaum (PVST +) BPDU Rewrite hinzugefügt; Diese Funktion ermöglicht es der Firewall, die VLAN-ID (PVID) der PVST + BPDU umzuschreiben, wenn Sie zwischen den L2-überbrückten VLANs der Firewall weitergeleitet wird.

PVST + PaketFluss

1. Wenn ein PVST +-Paket auf einer Schnittstelle empfangen wird, pariert PAN-OS die Pakete, holt sein 8021q-Tag (falls überhaupt) und PVID ab.
2. PVID sollte innerhalb von ' 1 – 4094, ' sonst wird es fallen gelassen.
3. Wenn 802.1 q Tag existiert, aber nicht mit PVID übereinstimmt, wird das Paket gelöscht und der Zähler "pvid_inconsistent" wird erhöht.
4. Wenn 802.1 q Tag nicht existiert, muss PVID mit dem System native VLAN ID übereinstimmen, andernfalls wird es gelöscht und der Zähler "pvid_inconsistent" wird erhöht.
5. Mit 802.1 q und Port, um Interface-Suche durch zu tun, wenn eine Logic-Schnittstelle nicht gefunden wird, wird das Paket gelöscht (Aktuelles Verhalten).
6. PAN-OS beginnt, PVST +-Pakete auf alle Egress-Schnittstellen (mit Ausnahme der Eindringen-Schnittstelle) innerhalb des VLAN (Aktuelles Verhalten) zu überfluten.
7. Für jede Egress Logic-Schnittstelle, wenn es sich um eine nicht markierte Schnittstelle handelt, ersetzen Sie PVID durch die native VLAN-ID des Systems, entfernen Sie 802.1 q-Tag, falls es existiert. Wenn es sich um eine markierte Sub-Schnittstelle handelt, ersetzen Sie PVID und ersetzen/einfügen Sie 802.1 q-Tag durch das in der Sub-Schnittstelle definierte Tag.

Das Feature kann nur über das CLI gesteuert werden:

Die Funktion aktivieren oder deaktivieren

> Session-Umschreibung-pvst-pvID Ja | Nein

Setzen Sie die systemweite PVST native VLAN ID

> Session pvst-native-VLAN-ID<vlan-id></vlan-id>

Rückwürfe aller STP-BPDU-Pakete aktivieren oder deaktivieren

> Session Drop-STP-Packet Ja | Nein

Diese Einstellungen werden nach dem Neustart fortbestehen

Die Standardeinstellungen:

• pvst + Tag Rewrite: aktiviert
• pvst + native VLAN ID: 1
• Drop STP: deaktiviert

> VLAN zeigen alle 

pvst + Tag umschreiben: aktiviert
pvst + native VLAN ID: 1
Drop STP: deaktiviert  

Besondere Aspekte:

• Diese Funktion wird nur auf L2-Schnittstellen unterstützt
• RegelMäßige Ethernet-Schnittstellen und aggregierte Ethernet-Schnittstellen werden
• Diese Funktion behandelt nur PVST + BPDU-Pakete. Die Verarbeitung aller anderen L2 Non PVST + BPDUs bleibt unverändert.
• Alle Schalter und Palo Alto Netze in einem L2-Einsatz sollten die gleiche native VLAN haben.