MAC La solapa de los interruptores conectados se nota cuando firewall está en modo VWIRE
14953
Created On 03/03/22 19:45 PM - Last Modified 03/02/23 03:17 AM
Symptom
- Firewalls implementados en modo vwire
- Al servir páginas de respuesta, es decir, el portal cautivo o el bloqueo o URL bloqueo Firewall de amenazas, encapsula paquetes con una dirección incorrecta MAC (las direcciones mac de AV origen y destino se invierten).
- El switch recibió una notificación de MAC movimiento en los switches L2 conectados, lo que provocó que el puerto entrara en estado de bloqueo y afectara a las redes.
Ejemplo de salida de registro del conmutador
nexus-10.46.192.30# show logging | inc 220 2022 Mar 9 22:27:17 nexus-10.46.192.30 %L2FM-4-L2FM_MAC_MOVE2: Mac 001b.172c.cd27 in vlan 220 has moved between Po202 to Po203
Environment
- PAN-OS 8.1.10
- Firewall En modo VWIRE
- Página de respuesta configurada (AV, Portal cautivo, Bloquear, URL etc.)
Cause
- Mientras que las páginas de respuesta en modo firewall vwire encapsulan paquetes con una dirección incorrecta MAC (las direcciones mac de origen y destino se invierten). Esto ha sido reportado por bug PAN-139172.
Resolution
- Actualizar a PAN-OS 8.1.16, 9.0.10, 9.1.4, 10.0 o superior
- Habilitar página SMAC de respuesta desde CLI
admin@LAB(active)> set session change-smac-in-resp yes
Para verificar
admin@AYKPPAFW01(active)> show session change-smac-in-resp status Enabled Status: True
Nota: Se guarda en el archivo de configuración y es persistente durante el reinicio y las actualizaciones.
Additional Information
PAN-OS 8.1.16 Cuestiones abordadas
| PAN-139172 | Se ha corregido un problema por el firewall SMAC DMAC que las páginas de respuesta generadas a partir del paquete y las direcciones utilizadas desde el paquete original, lo que provocaba una MAC solapa en los conmutadores conectados. |