PAN-OS 7,1 L2 protocole de réseau pré-négociation pour dispositif passif

Les clients avec les DCS critiques de mission exigent la capacité de basculement extrêmement rapidement (Sub 1 seconde) et ont la visibilité du pare-feu passif dans des configurations de A/P ha quand des protocoles tels que LACP et LLDP sont utilisés.

Cette fonctionnalité introduit une nouvelle option permettant au pare-feu passif de communiquer avec son périphérique voisin en utilisant des protocoles réseau L2 spécifiques tels que LACP et LLDP.

Il fournira la possibilité de configurer et de permettre la pré-négociation des protocoles réseau suivants sur les interfaces DP:

• LACP/LLDP sont pris en charge.
• La pré-négociation des membres passifs doit prendre en charge les modes d'interface L2, L3, Vwire.
• La pré-négociation n'est pas prise en charge sur les sous-interface et les interfaces tunnel.
• Pris en charge sur les plates-formes PA-7000, PA-5000 et PA-3000.

Pour le mode Vwire, le mode de passage est également introduit pour Ethernet.

• Autorisez LACP et LLDP la pré-négociation (transmission) à activer sur les interfaces Ethernet Vwire uniquement.
• Cela fournit la prise en charge des périphériques homologues désireux de pré-négocier LACP et LLDP via le pare-feu passif en mode Vwire.

En mode de passage Vwire, LACP et LLDP ne doivent pas être configurés sur les interfaces, car les périphériques homologues négocieront ces protocoles via le Vwire.

• En mode vwire, LACP n'est pas pris en charge. Lors de l'activation de la fonctionnalité, LACP'passer à travers'le pare-feu.

En mode Vwire, LLDP a été pris en charge depuis PAN-OS 7,0. Tout en désactivant LLDP et en activant la fonction, LLDP'passe à travers'le pare-feu.

• La transmission LLDP dans les interfaces AE n'est pas prise en charge sous le mode Vwire (les interfaces AE ne peuvent pas garantir la liaison entre les interfaces d'entrée et de sortie du membre AE, ce qui fait que les paquets arrivent dans un membre et sortent d'un autre membre).

Même pour le mode non fonctionnel, la fonction fonctionne.

1. Dans une configuration active-passive, supposons que le périphérique passif ait une défaillance mineure (comme un échec de surveillance de lien), il va passer à un État non fonctionnel.
2. Ensuite, si le périphérique actif a un échec majeur (tel que DP Restart) et devient non fonctionnel, alors le périphérique homologue va passer de non fonctionnel à l'état actif.

Dans ce cas, il n'y a pas d'état passif intermédiaire, mais la fonctionnalité est prise en charge même en état non fonctionnel. Avec cette fonctionnalité, les protocoles L2 sont élevés plus rapidement Lorsqu'un périphérique passe d'un État non fonctionnel à un Etat actif (c'est-à-dire, lors d'un basculement).