PAN-OS 7,1 L2 Netzwerkprotokoll Vorverhandlung für passives Gerät

PAN-OS 7,1 L2 Netzwerkprotokoll Vorverhandlung für passives Gerät

26953
Created On 09/25/18 17:30 PM - Last Modified 06/13/23 16:39 PM


Resolution


Kunden mit missionskritischer DCs benötigen die Möglichkeit, extrem schnell zu Failover (unter 1 Sekunde) und die Sichtbarkeit der passiven Firewall in A/P HA-Konfigurationen zu haben, wenn Protokolle wie LACP und LLDP verwendet werden.

 

Diese Funktion führt eine neue Option ein, die es der passiven Firewall ermöglicht, mit Ihrem benachbarten Gerät mit bestimmten L2-Netzwerkprotokollen wie LACP und LLDP zu kommunizieren.

 

Es wird die Möglichkeit bieten, die folgenden Netzwerkprotokolle auf den DP-Schnittstellen zu konfigurieren und Vorverhandlung zu ermöglichen:

  • LACP/LLDP werden unterstützt.
  • Die passive Mitglieder Vorverhandlung muss L2, L3, vWire-Schnittstellen Modi unterstützen.
  • Die Vorverhandlung wird nicht auf unter Schnittstellen und Tunnel Schnittstellen unterstützt.
  • UnterStützt auf den Plattformen PA-7000, PA-5000 und PA-3000.

 

Für den vWire-Modus wird auch der "Durchlauf Modus" für Ethernet eingeführt.

  • Erlauben Sie, LACP und LLDP-Vorverhandlung (Durchlauf) nur auf vWire-Ethernet-Schnittstellen zu aktivieren.
  • Dies bietet Unterstützung für Peer-Geräte, die LACP und LLDP über die passive Firewall im vWire-Modus vorverhandeln wollen.

Im vWire-Durchlauf Modus dürfen LACP und LLDP nicht an den Schnittstellen konfiguriert werden, da die Peer-Devices diese Protokolle über den vWire aushandeln.

  • Im vWire-Modus wird LACP nicht unterstützt. Wenn Sie das Feature aktivieren, "durchlaufen" LACP die Firewall.

Im vWire-Modus wird LLDP seit PAN-OS 7,0 unterstützt. Während Sie LLDP deaktivieren und das Feature aktivieren, "durchlaufen" LLDP die Firewall.

  • LLDP-Durchlauf in AE-Schnittstellen werden im vWire-Modus nicht unterstützt (da AE-Schnittstellen nicht das AE-Mitglied 1:1-Bindung zwischen eindringen-und Egress-Schnittstellen garantieren können, wodurch Pakete in einem Mitglied kommen und ein anderes Mitglied ausgehen).

unterstützten Szenarien

Auch für den nicht-funktionalen Modus funktioniert das Feature.

  1. Nehmen wir an, dass das passive Gerät in einem aktiv-passiven Setup einen kleinen Fehler hat (z. a. ein Fehler bei der Link Überwachung), wird es in einen nicht-funktionalen Zustand wechseln.
  2. Wenn das aktive Gerät dann einen großen Fehler hat (wie zum Beispiel DP-Neustart) und nicht funktionsfähig wird, dann bewegt sich das Peer-Gerät von nicht-funktionalem in aktiven Zustand.

In diesem Fall gibt es keinen zwischen passiven Zustand, aber das Feature wird auch in nicht-funktionalem Zustand unterstützt. Mit dem Feature werden L2-Protokolle schneller aufgebracht, wenn sich ein Gerät von nicht-funktionalem in einen aktiven Zustand (also auf Failover) bewegt.

 

In HA passiv Zustand aktivieren

In HA passiv Zustand aktivieren
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClG5CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language