每个 VLAN 生成树 (PVST +) 的 PAN OS 7.1 BPDU 重写

在泛 OS 7.1 之前, 在 Layer2 VLAN 桥模式下部署防火墙有时会遇到在周围 L2 交换机上启用的 PerVLAN 生成树 (PVST +) 的生成树问题。由于防火墙不支持 PVST + BPDUs 的 vlan 重写, 并且在 vlan 之间淹没了这些, 因此接收开关将检测到 "PVID 不一致" 的错误, 并中断生成树环路检测。

随着泛 OS 7.1 和更高版本, 每个 VLAN 生成树 (PVST +) BPDU 重写被添加;此功能将允许防火墙在防火墙的 L2 桥接 vlan 之间转发 PVST + BPDU 的 VLAN ID (PVID)。

PVST + 数据包流

1. 当在接口上收到 PVST + 数据包时, PAN OS 将分析数据包, 检索其8021q 标记 (如果有) 和 PVID。
2. PVID 应该在 ' 1-4094 ' 以内, 否则, 它就会被丢弃。
3. 如果802.1q 标记存在, 但与 PVID 不匹配, 则丢弃数据包, 计数器 "pvid_inconsistent" 递增。
4. 如果802.1q 标记不存在, PVID 必须匹配系统本机 VLAN ID, 否则, 它将被丢弃, 计数器 "pvid_inconsistent" 将递增。
5. 使用802.1q 和端口进行接口查找时, 如果找不到逻辑接口, 则丢弃数据包 (当前行为)。
6. 在 VLAN (当前行为) 内部, 泛 OS 开始向所有出口接口 (除了入口接口) PVST。
7. 对于每个出口逻辑接口, 如果它是未加标签的接口, 请将 PVID 替换为系统的本机 VLAN ID, 如果它存在, 请删除802.1q 标记。如果是标记子接口, 请用子接口中定义的标记替换 PVID 并替换/插入802.1q 标记。

该功能只能通过 CLI 来控制:

启用或禁用功能

>> 设置会话重写-pvst-pvid 是 | 否

设置全网 PVST 本机 VLAN ID

>> 设置会话 pvst-本机-vlan id<vlan-id></vlan-id>

启用或禁用丢弃所有 STP BPDU 数据包

>> 设置会话下拉-stp-数据包是 | 否

重新启动后这些设置将保持不变

默认设置:

• pvst + 标记重写: 已启用
• pvst + 本机 vlan id: 1
• 删除 stp: 已禁用

>> 显示 vlan 所有

pvst + 标记重写: 启用的
pvst + 本机 vlan id: 1
丢弃 stp: 已禁用 

注意事项︰

• 仅在 L2 接口上支持此功能
• 支持常规以太网接口和聚合以太网接口
• 此功能仅处理 PVST + BPDU 数据包。所有其他 L2 非 PVST + BPDUs 的处理保持不变。
• 同一 L2 部署中的所有交换机和帕洛阿尔托网络都应该具有相同的本地 vlan。