Antes de pan-os 7,1, desplegar el firewall en Layer2 VLAN modo de puente a veces se topó con problemas de árbol de expansión con pervlan árbol de expansión (PVST +) activado en los conmutadores L2 circundantes. Debido a que el Firewall no soportaba la reescritura de VLAN para PVST + BPDU e inundó estos entre las VLAN, el conmutador de recepción detectaría un error "PVID-incoherente" y rompería la detección de bucle de árbol.
Con PAN-OS 7,1 y más adelante, por el atravesar-árbol de la VLAN (PVST +) BPDU la reescritura se agrega; Esta característica permitirá que el Firewall reescriba el ID de VLAN de PVST + BPDU (PVID) cuando se reenvía entre las VLAN de puente L2 de Firewall.
PVST + flujo de paquetes
- Cuando un paquete PVST + recibido en una interfaz, pan-os analiza los paquetes, recupera su etiqueta 8021q (si existe) y PVID.
- PVID debe estar dentro de ' 1 – 4094, ' de lo contrario, se cae.
- Si existe la etiqueta 802.1 q, pero no coincide con PVID, se elimina el paquete y se incrementa el contador "pvid_inconsistent".
- Si no existe la etiqueta 802.1 q, PVID debe coincidir con el identificador nativo del sistema VLAN, de lo contrario, se elimina y se incrementa el contador "pvid_inconsistent".
- Utilizando 802.1 q y Port para hacer la búsqueda de interfaz, si no se encuentra una interfaz lógica, el paquete se elimina (comportamiento actual).
- PAN-os comienza a inundar PVST + paquetes a todas las interfaces de salida (excepto la interfaz de ingreso) dentro de la VLAN (comportamiento actual).
- Para cada interfaz lógica de salida, si se trata de una interfaz sin etiquetar, reemplace PVID con el identificador de VLAN nativo del sistema, elimine la etiqueta 802.1 q si existe. Si se trata de una sub-interfaz etiquetada, reemplace PVID y reemplace/Inserte la etiqueta 802.1 q con la etiqueta definida en la sub-interfaz.
La función sólo se puede controlar mediante la CLI:
Activar o desactivar la función
> configurar sesión de reescritura-PVST-PVID sí | no
Establecer el identificador de VLAN nativo de CGIAR PVST
> configurar sesión PVST-nativo-VLAN-id<vlan-id></vlan-id>
Activar o desactivar el descarte de todos los paquetes STP BPDU
> ajustar sesión Drop-STP-paquete sí | no
Esta configuración persistirá después del reinicio
La configuración predeterminada:
- reescritura de PVST + Tag: Enabled
- PVST + ID nativo de VLAN: 1
- Drop STP: deshabilitado
> Mostrar VLAN todos
PVST + Tag reescribir: habilitado
PVST + nativo VLAN id: 1
Drop STP: deshabilitado
Consideraciones:
- Esta función sólo se admite en interfaces L2
- Se admiten interfaces Ethernet regulares y interfaces Ethernet agregadas
- Esta función sólo maneja los paquetes PVST + BPDU. El proceso de todo el otro L2 no PVST + BPDU sigue siendo sin cambios.
- Todos los switches y las redes palo alto en una misma implementación L2 deberían tener la misma VLAN nativa.