MAC 连接的开关拍打时注意到firewall在 vwire 模式下

MAC 连接的开关拍打时注意到firewall在 vwire 模式下

14907
Created On 03/03/22 19:45 PM - Last Modified 03/02/23 03:16 AM


Symptom


  • 以 vwire 模式部署的防火墙
  • 在提供响应页面时,即强制门户或URL阻止或AV威胁块Firewall正在封装错误的数据包MAC地址(源和目标 mac 地址翻转)。
  • 开关收到一个MAC在连接的 L2 交换机上移动通知导致端口进入阻塞状态影响网络
交换机日志输出示例
nexus-10.46.192.30# show logging | inc 220

2022 Mar  9 22:27:17 nexus-10.46.192.30 %L2FM-4-L2FM_MAC_MOVE2: Mac 001b.172c.cd27 in vlan 220 has moved between Po202 to Po203

 

Environment


  • PAN-OS 8.1.10
  • Firewall 在 vwire 模式下
  • 响应页面已配置(AV , 专属门户,URL块等)

Cause


  • 在 vwire 模式下提供响应页面时firewall正在封装错误的数据包MAC地址(源和目标 mac 地址翻转)。 这已由错误报告PAN-139172.

Resolution


  1. 升级到PAN-OS8.1.16、9.0.10、9.1.4、10.0 或更高版本
  2. 启用响应页面SMAC从 CLI
admin@LAB(active)> set session change-smac-in-resp yes

核实

admin@AYKPPAFW01(active)> show session change-smac-in-resp status

Enabled Status: True

笔记:它被保存到配置文件中,并且在重启和升级过程中保持不变。

 

Additional Information


PAN-OS 8.1.16 解决的问题
PAN-139172修复了从firewall用过SMAC和DMAC来自原始数据包的地址,这导致了MAC拍打连接的开关。


 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004NQkCAM&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language