PAN-OS 7.1 あたりの VLAN スパニング-ツリー (PVST +) BPDU 書き換え

PAN-OS 7.1 の前に、Layer2 VLAN ブリッジモードでファイアウォールを展開すると、周囲の L2 スイッチで PerVLAN スパニングツリー (PVST +) が有効になっているスパニングツリーの問題に遭遇することがありました。ファイアウォールは PVST + BPDUs のための vlan 書き換えをサポートしておらず、vlan 間でこれらをフラッディングしたため、受信スイッチは "PVID 不整合" エラーを検出し、スパニングツリーループ検出を中断します。

PAN-OS 7.1 以降では、VLAN スパニングツリー (PVST +) BPDU 書き換えが追加されます。この機能により、ファイアウォールは、ファイアウォールの L2 ブリッジ vlan 間で転送されるときに、PVST + BPDU の vlan ID (PVID) を書き換えることができます。

PVST + パケットフロー

1. インターフェイスで PVST + パケットを受信すると、パン OS はパケットを解析し、その8021q タグ (ある場合) と PVID を取得します。
2. PVID は ' 1-4094 の範囲内でなければならない、' さもなければ、それは落とされる。
3. 802.1 q タグが存在し、PVID と一致しない場合、パケットは削除され、カウンタ "pvid_inconsistent" がインクリメントされます。
4. 802.1 q タグが存在しない場合、PVID はシステムのネイティブ VLAN ID と一致する必要があり、それ以外の場合は削除され、カウンタ "pvid_inconsistent" がインクリメントされます。
5. 802.1 q および port を使用してインターフェイスルックアップを実行すると、ロジックインターフェイスが見つからない場合は、パケットが削除されます (現在の動作)。
6. PAN-OS は、VLAN (現在の動作) 内のすべての出口インターフェイス (進入インターフェイスを除く) に PVST + パケットを洪水を開始します。
7. 各出力ロジックインターフェイスでは、タグなしのインターフェイスである場合は、PVID をシステムのネイティブ VLAN ID に置き換え、802.1 q タグが存在する場合は削除します。タグ付きサブインターフェイスの場合は、PVID を置き換えて、802.1 q タグをサブインターフェイスで定義されたタグに置き換えます。

この機能は、CLI を使用してのみ制御できます。

機能を有効または無効にする

> 設定セッション書き換え-pvst-pvid はい | いいえ

システム全体 PVST ネイティブ VLAN ID を設定します。

> セッション pvst の設定-ネイティブ-vlan id<vlan-id></vlan-id>

すべての STP BPDU パケットの破棄を有効または無効にする

> セッションドロップを設定する-stp の-パケットはい | いいえ

これらの設定は再起動後に保持され

既定の設定:

• pvst + タグ書き換え: 有効
• pvst + ネイティブ vlan id: 1
• ドロップ stp: 無効

> 表示 vlan のすべての

pvst + タグ書き換え: 有効
pvst + ネイティブ vlan id: 1
ドロップ stp の: 無効 

に関する考慮事項:

• この機能は、L2 インタフェースでのみサポートされます。
• 通常のイーサネットインタフェースおよび集約イーサネットインタフェースがサポートされます。
• この機能は、PVST + BPDU パケットのみを処理します。他のすべての L2 非 PVST + BPDUs の処理は変わりません。
• 同じ L2 展開のすべてのスイッチとパロアルトネットワークは、同じネイティブ vlan を持つ必要があります。