MAC Klappe an angeschlossenen Switches im vWire-Modus bemerkt firewall
14939
Created On 03/03/22 19:45 PM - Last Modified 03/02/23 03:09 AM
Symptom
- Im vwire-Modus bereitgestellte Firewalls
- Beim Bereitstellen von Antwortseiten, d. H. Captive Portal oder Block oder URL AV Bedrohungsblock Firewall kapselt Pakete mit falscher MAC Adresse (Quell- und Ziel-Mac-Adressen werden umgedreht).
- Der Switch erhielt eine MAC Verschiebungsbenachrichtigung auf angeschlossenen L2-Switches, wodurch der Port in den Blockzustand wechselte, was sich auf die Netzwerke auswirkte
Beispiel Log-Ausgabe des Schalters
nexus-10.46.192.30# show logging | inc 220 2022 Mar 9 22:27:17 nexus-10.46.192.30 %L2FM-4-L2FM_MAC_MOVE2: Mac 001b.172c.cd27 in vlan 220 has moved between Po202 to Po203
Environment
- PAN-OS 8.1.10
- Firewall Im vWire-Modus
- Antwortseite konfiguriert (AV, Captive Portal, URL Block usw.)
Cause
- Beim Bereitstellen von Antwortseiten im vwire-Modus werden Pakete mit falscher MAC Adresse gekapselt (Quell- und Ziel-Mac-Adressen firewall werden umgedreht). Dies wurde von bug PAN-139172gemeldet.
Resolution
- Upgrade auf PAN-OS 8.1.16, 9.0.10, 9.1.4, 10.0 oder höher
- Antwortseite SMAC aktivieren von CLI
admin@LAB(active)> set session change-smac-in-resp yes
So überprüfen Sie
admin@AYKPPAFW01(active)> show session change-smac-in-resp status Enabled Status: True
Hinweis: Es wird in der Konfigurationsdatei gespeichert und ist bei Neustarts und Upgrades persistent.
Additional Information
PAN-OS 8.1.16 Behobene Probleme
| PAN-139172 | Es wurde ein Problem behoben, bei dem Antwortseiten, die aus dem ursprünglichen Paket generiert wurden, die firewall SMAC und DMAC Adressen aus dem ursprünglichen Paket verwendeten, was zu einer MAC Klappe an angeschlossenen Switches führte. |