Pan-OS 7,1 par VLAN enjambant-Tree (PVST +) BPDU réécriture

Avant Pan-OS 7,1, le déploiement du pare-feu en mode pont VLAN Layer2 a parfois rencontré des problèmes d'arborescences avec l'arborescence pervlan (PVST +) activée sur les commutateurs L2 environnants. Parce que le pare-feu ne prend pas en charge VLAN réécrire pour PVST + BPDU et inondé ces entre les VLAN, le commutateur de réception détecterait une erreur "PVID-incohérente" et Break couvrant la détection de boucle d'arbre.

Avec Pan-OS 7,1 et ultérieur, la réécriture de l'arborescence des VLAN (PVST +) BPDU est ajoutée; Cette fonctionnalité permettra au pare-feu de réécrire l'ID de VLAN de PVST + BPDU (PVID) Lorsqu'il sera transmis entre les VLAN pontés L2 du pare-feu.

PVST + flux de paquets

1. Lorsqu'un paquet PVST + est reçu sur une interface, Pan-OS analyse les paquets, récupère sa balise 8021q (le cas échéant) et PVID.
2. PVID doit être dans' 1-4094, 'sinon, il est supprimé.
3. Si la balise 802.1 q existe, mais ne correspond pas à PVID, le paquet est supprimé et le compteur «pvid_inconsistent» est incrémenté.
4. Si la balise 802.1 q n'existe pas, PVID doit correspondre à System Native VLAN ID, sinon, il est supprimé et Counter "pvid_inconsistent" est incrémenté.
5. En utilisant 802.1 q et le port pour effectuer la recherche d'interface, si une interface logique est introuvable, le paquet est supprimé (comportement actuel).
6. Pan-os commence à inonder PVST + paquets à toutes les interfaces de sortie (à l'exception de l'interface d'entrée) à l'intérieur du VLAN (comportement actuel).
7. Pour chaque interface logique de sortie, S'il s'agit d'une interface non étiquetée, remplacez PVID par l'ID natif du système VLAN, supprimez la balise 802.1 q si elle existe. S'il s'agit d'une sous-interface avec balises, remplacez PVID et remplacez/Insérez la balise 802.1 q par la balise définie dans la sous-interface.

La fonction ne peut être contrôlée que par le CLI:

Activer ou désactiver la fonction

> Set session réécrire-pvst-PVID oui | non

Définir le Systemwide PVST natif ID VLAN

> Set session pvst-Native-VLAN-ID<vlan-id></vlan-id>

Activer ou désactiver le rejet de tous les paquets STP BPDU

> Set session Drop-STP-paquet oui | non

Ces paramètres persisteront après le redémarrage

Les paramètres par défaut:

• pvst + tag réécriture: activé
• pvst + ID natif VLAN: 1
• Drop STP: désactivé

> Show VLAN tous 

pvst + tag réécrire: activé
pvst + ID natif VLAN: 1
Drop STP: désactivé  

Remarques :

• Cette fonctionnalité est prise en charge uniquement sur les interfaces L2
• Les interfaces Ethernet régulières et les interfaces Ethernet agrégées sont prises en charge
• Cette fonction ne gère que les paquets PVST + BPDU. Le traitement de tous les autres L2 non PVST + BPDU reste inchangé.
• Tous les commutateurs et les réseaux Palo Alto dans un même déploiement L2 doivent avoir le même VLAN natif.