7.1 L2 网络协议预协商无源设备

具有任务关键型 DCs 的客户要求能够非常快速地进行故障转移 (子1秒), 并在使用 LACP 和 LLDP 等协议时, 在-p HA 配置中具有被动防火墙的可见性。

此功能引入了一个新选项, 允许被动防火墙使用特定的 L2 网络协议 (如 LACP 和 LLDP) 与相邻设备通信。

它将提供配置和允许在 DP 接口上预先协商以下网络协议的能力:

• 支持 LACP/LLDP。
• 被动成员预协商必须支持 L2、L3、Vwire 接口模式。
• 子和隧道接口不支持预协商。
• 支持 PA-7000、PA-5000 和 PA-3000 平台。

对于 Vwire 模式, 还引入了以太网的 "直通模式"。

• 允许仅在 Vwire 以太网接口上启用 LACP 和 LLDP 预协商 (直通)。
• 这为希望在 Vwire 模式下通过被动防火墙预先协商 LACP 和 LLDP 的对等设备提供支持。

在 Vwire 直通模式下, 不能在接口上配置 LACP 和 LLDP, 因为对等设备将通过 Vwire 协商这些协议.

• 在 vwire 模式下, 不支持 LACP。启用该功能时, LACP ' 通过 ' 防火墙。

在 Vwire 模式下, LLDP 自 PAN OS 7.0 以来一直得到支持。禁用 LLDP 并启用该功能时, LLDP ' 通过 ' 防火墙。

• 在 Vwire 模式下不支持 ae 接口中的 LLDP 传递 (因为 ae 接口不能保证在入口和出口接口之间的 ae 成员1:1 绑定, 导致数据包进入一个成员并退出另一个成员)。

即使对于非功能模式, 该功能也可以正常工作。

1. 在主动被动安装中, 假设被动设备有一个小故障 (如链接监视故障), 它将变为非功能状态。
2. 然后, 如果活动设备有重大故障 (如 DP 重启) 并变为非功能性, 则对等设备将从非功能状态移动到 "活动"。

在这种情况下, 没有中间被动状态, 但即使在非功能状态下也支持该功能。使用该功能, 当设备从非功能性到活动状态 (即故障转移) 移动时, L2 协议的速度会加快。