Wie man Schnittstellen für VM-Serien konfiguriert, um in L3 ohne promiskuous-Modus zu arbeiten
Resolution
Übersicht
Vor dem 7,0 waren die Firewalls der VM-Serie nicht in der Lage, ihre logischen Schnittstellen zu konfigurieren, um Hypervisor-zugewiesene MAC-Adressen zu verwenden. Also, diese Firewalls erforderten Sie entweder A) zum enblichen promiskuous-Modus auf der Vswitch-Port-Gruppe oder B) manuell den Hypervisor konfigurieren, um die Mac-Adresse (es) der Firewall zu verwenden. Die Firewalls der VM-Serie laufen 7,0 und haben später nicht diese Einschränkung und können nun die vom Hypervisor zugewiesene MAC-Adresse erkennen und verwenden. In 7,0 und später ist die Verwendung der hyperadvisor-zugewiesenen Mac-Adresse das Standard-Verhalten, aber dies kann im Gerät > Setup > Management > allgemeine Einstellungen- Konfiguration deaktiviert werden.
Schritte
Die folgenden Schritte beschreiben, wie die VM-Netzwerkkonfiguration geändert werden kann, um die native Mac-Adresse der Firewall zu verwenden. Für Firewalls, die Pan-OS-Versionen vor 7,0 laufen lassen, können Sie die Firewall mit Ihrer virtuellen Infrastruktur verbinden, ohne dass Sie einen promiskuous-Modus auf der Vswitch-Port-Gruppe aktivieren müssen, mit der die Firewall verbunden ist.
- Der folgende Screenshot ist ein Beispiel für die VM-Eigenschaften (in VMware, Rechtsklick auf Maschine und Bearbeitungs-Einstellungen)
- Die sys. S1. P3. HWaddr (00:50:56: a3:3C: 37), die im Screenshot unten zu sehen ist, entspricht der Konfiguration der VM, die im vorherigen Screenshot angezeigt wird.
Sehen Sie sich die Mac-Adresse an, die Palo Alto Networks für Ethernet1/3 verwendet: 12: ab: 11:04: AC: 12 - Die VM Herunterfahren, Ethernet1/3 auf manuelle Mac umschalten und in den entsprechenden Mac tippen (in diesem Fall 12: ab: 11:04: AC: 12):
- Macht auf der VM und überprüfen Sie die Änderungen:
Wiederholen Sie für alle Schnittstellen, die ohne promiskuous-Modus arbeiten müssen. Bitte beachten Sie, dass dies nur für L3-Schnittstellen gilt.
Besitzer: Rweglarz