PAN-OS 7.1 の L2 ネットワークプロトコルの事前ネゴシエーションパッシブデバイス

ミッションクリティカルな DCs をお持ちのお客様は、LACP や LLDP などのプロトコルが使用されている場合、非常に迅速にフェイルオーバー (サブ1秒) し、パッシブファイアウォールを A/P HA 構成で表示できるようにする必要があります。

この機能は、パッシブファイアウォールが LACP や LLDP などの特定の L2 ネットワークプロトコルを使用して、隣接するデバイスと通信できるようにする新しいオプションを導入しています。

これは、DP インターフェイス上で次のネットワークプロトコルの事前ネゴシエーションを構成および許可する機能を提供します。

• LACP/LLDP がサポートされています。
• パッシブメンバーの事前ネゴシエーションは、L2、L3、Vwire インターフェイスモードをサポートする必要があります。
• サブインタフェースおよびトンネルインターフェイスでは、事前ネゴシエーションはサポートされていません。
• pa-7000、pa-5000、および pa-3000 プラットフォームでサポートされています。

Vwire モードでは、イーサネットにも「パススルーモード」が導入されています。

• Vwire イーサネットインターフェイスでのみ、LACP と LLDP の事前ネゴシエーション (パススルー) を有効にすることができます。
• これにより、Vwire モードでパッシブファイアウォールを介して LACP と LLDP を事前にネゴシエートするピアデバイスがサポートされます。

Vwire パススルーモードでは、ピアデバイスが Vwire を通じてこれらのプロトコルをネゴシエートするため、LACP と LLDP をインターフェイス上で構成することはできません。

• vwire モードでは、LACP はサポートされていません。この機能を有効にすると、LACP はファイアウォールを通過します。

Vwire モードでは、LLDP は PAN-OS 7.0 からサポートされています。LLDP を無効にして機能を有効にしている間、LLDP はファイアウォールを通過します。

• ae インターフェイスの LLDP パススルーは、Vwire モードではサポートされていません (ae インタフェースは、ae のメンバー1:1 が進入と出口のインタフェース間で結合することを保証できないため、パケットが1つのメンバーに入ってきて別のメンバーに移動します)。

非機能モードの場合でも、機能は動作します。

1. アクティブ-パッシブセットアップでは、パッシブデバイスに障害が発生した場合 (リンクの監視エラーなど)、機能しない状態に変更されるとします。
2. その後、アクティブなデバイスに大きな障害 (DP の再起動など) が発生し、機能しなくなった場合、ピアデバイスは非機能からアクティブ状態に移行します。

この場合、中間パッシブ状態はありませんが、機能は非機能状態でもサポートされます。この機能により、デバイスが非機能からアクティブ状態 (フェイルオーバー時) に移行すると、L2 プロトコルは高速になります。