在帕洛阿尔托网络设备，做不需要安全政策到操作上的动态协议

最动态路由选择协议有他们与沟通，交换路由参数和网络的多播的地址。今天使用常见的动态路由协议和其的多播的地址是：

• BGP： 无
• OSPF: 224.0.0.5 (AllSPFRouters)、224.0.0.6 (AllDRRouters)
• RIP: 224.0.0.9
• EIGRP: 224.0.0.10 （目前不支持在帕洛阿尔托网络防火墙上）
• PIM: 224.0.0.13

大多数路由器，默认情况下，包括帕洛阿尔托网络防火墙，消息发送给各自的多播地址从控制平面。控制平面交通不被定义为数据平面，是安全策略所在在防火墙上的策略。

说明

作为一个例子，可以配置在安全规则的拒绝任意策略和上面列出的动态任何的协议使用多播的地址，它们的运作仍然会形成适当相邻关系的建立与对等设备。

• BGP 不使用多播的地址进行通信。它在默认情况下在 TCP/179 上沟通，因此它需要正常数据平面上的安全策略允许。
• OSPF 有一个警告。向窗体的邻居关系，OSPF 将你好消息发送到多播地址，不过，要形成完整的邻接，OSPF 邻居可以数据库描述符消息互相发送使用他们各自的单播地址。安全策略需要允许这些单播通信。
  注意:这意味着如果在规则库的底部存在拒绝任何规则, 则需要允许同一区域的应用程序 OSPF 的安全策略.
• RIP 和 PIM 只能与他们多播地址通信因此没有安全策略需要它们的运作。

在帕洛阿尔托网络防火墙上其他协议：

• 当防火墙作为 DHCP 服务器时，DHCPD 服务操作在控制平面，但根据正在进行的 DHCP 事务，可能需要一个安全策略。
• 如果主机第一次在网络上上来，它是同一 lan 的帕洛阿尔托网络防火墙，该主机使用广播的消息获取一个新的 IP 地址。这不需要安全策略可以工作。
• 如果主机已一段时间，并且试图续订或释放它已经拥有的 IP 地址，使用单播地址发送这些 DHCP 消息。需要与安全策略允许这些消息。
• 如果帕洛阿尔托网络防火墙是一个 DHCP 服务器，但其客户并非同一 LAN 上，然后是最有可能的有 DHCP 中继网络中，转换 DHCP 广播单播消息。这些来自 DHCP 中继路由器在网络中的单播请求将需要允许的安全策略。如果防火墙是 DHCP 中继代理同样适用。

DNS，NTP、SNMP、GlobalProtect 和其他协议在防火墙上的所有需要允许的安全策略，因为他们对他们的通信使用单播地址。

所有者： tasonibare