MAC Rabat sur les commutateurs connectés remarqué en firewall mode vWire
14931
Created On 03/03/22 19:45 PM - Last Modified 03/02/23 03:17 AM
Symptom
- Pare-feu déployés en mode vwire
- Lors de la diffusion des pages de réponse, c’est-à-dire que le portail captif ou le bloc ou URL AV le bloc Firewall de menace encapsule des paquets avec une adresse incorrecte MAC (les adresses mac source et de destination sont inversées).
- Le commutateur a reçu une notification de déplacement sur les commutateurs L2 connectés, ce qui a entraîné une MAC entrée en état de blocage du port, ce qui a eu un impact sur les réseaux
Exemple de sortie de journal du commutateur
nexus-10.46.192.30# show logging | inc 220 2022 Mar 9 22:27:17 nexus-10.46.192.30 %L2FM-4-L2FM_MAC_MOVE2: Mac 001b.172c.cd27 in vlan 220 has moved between Po202 to Po203
Environment
- PAN-OS 8.1.10
- Firewall En mode vWire
- Page de réponse configurée (AV, Portail captif, Bloc, URL etc.)
Cause
- Alors que servir des pages de réponse en mode firewall vwire encapsule des paquets avec une adresse incorrecte MAC (les adresses mac source et de destination sont inversées). Cela a été signalé par bug PAN-139172.
Resolution
- Mise à niveau vers PAN-OS 8.1.16, 9.0.10, 9.1.4, 10.0 ou version ultérieure
- Activer la page SMAC de réponse à partir de CLI
admin@LAB(active)> set session change-smac-in-resp yes
Pour vérifier
admin@AYKPPAFW01(active)> show session change-smac-in-resp status Enabled Status: True
Remarque: Il est enregistré dans le fichier de configuration et il est persistant tout au long du redémarrage et des mises à niveau.
Additional Information
PAN-OS 8.1.16 Questions abordées
| PAN-139172 | Correction d’un problème où les pages de réponse générées à partir de l’utilisaient les adresses et DMAC du paquet d’originefirewall, ce qui provoquait un MAC rabat sur les SMAC commutateurs connectés. |