Was passiert, wenn eine Schnittstelle im Layer-2-Modus ein Paket mit unbekannter MAC Adresse empfängt?
Question
Was passiert, wenn eine Schnittstelle im Layer-2-Modus ein Paket mit unbekannter MAC Zieladresse empfängt?
Answer
Wenn ein Paket mit einer unbekannten MAC Zieladresse auf einer Layer 2-Schnittstelle empfangen wird, firewall überflutet das Paket das Paket aus allen Schnittstellen in der, auf der VLAN es empfangen wird (mit Ausnahme der eingehenden). Dies ähnelt dem Verhalten, wie sich ein regulärer Layer 2-Switch verhalten würde.
In diesem Fall erstellen Sie firewall DOES NOT eine Sitzung und protokollieren das Paket als gelöscht. Gleichzeitig wird der globale Zähler "flow_fwd_l2_flood" erhöht.Wenn das Ziel MAC unbekannt ist, schlägt die erste Sitzung mit der unbekannten MAC Adresse immer fehl.
Dies ist ein erwartetes Verhalten, da der zum Zeitpunkt der Ankunft des Pakets firewall keine Kenntnis von der Zielzone hat (keine Adresse, die einer MAC ausgehenden Schnittstelle zugeordnet ist) und keine Suche durchführen policy kann. Der firewall basiert auf einer Antwort vom Ziel, um die Adresse zu lernen und sie einer Schnittstelle MAC zuzuordnen.
Bei Datenebenen-Debuggen (Feature-Flow-Basic) ist in der Slowpath-Phase Folgendes zu sehen:
Session setup: dst mac not found MAC entry <AA:BB:CC:DD:EE:FF> not found on VLAN <X> ... Transmit packet on port <Y> Packet dropped, forwarding info unavailable for policy lookup Packet dropped, Session setup failed