Firewall VSS-lässt den Management-Trailer fallen, da die Layer-4-Prüfsumme aktiviert ist

• Einige Pakete fehlen in der Drop- oder Empfangsphase von pcap auf der FW.
• Die Wireshark-Erfassung an der Quelle zeigt den Monitoring-Ethernet-Trailer an, der zu den VSS-Paketen hinzugefügt wurde, die es nicht in die FW.
• Der globale Zähler "flow_fpga_rcv_igr_L4CHKSUMERR" erhöht sich während des Ausgabezeitpunkts.

• Palo Alto 5200 Serie Firewall
• Unterstützt PAN-OS

• Auf den Plattformen wie PA-5250 mit dem FE100-Chip hardware führt der FW einen beim Eingehen durch FCS .
• Die Pakete, die den Management-Trailer enthalten VSS-, brechen die L4-Prüfsumme und gelangen daher nicht auf die Datenebene.
• Wenn die Gesamtlänge des Pakets mehr als 256 B beträgt und das Paket Trailer-Bytes enthält, führt dies dazu, dass die L4-Prüfsumme auf dem Firewall und fehlschlägt, und dieses Paket wird von der verworfen Firewall.
• Aus diesem Grund werden diese Pakete nicht in den Paketerfassungs- oder Debugprotokollen auf der Firewall

1. FirewallDeaktivieren Sie die Layer4-Prüfsumme mit dem folgenden Befehl:

> set system setting layer4-checksum disable

2. Starten Sie das Gerät während des Wartungsfensters neu, um die Änderung wirksam zu machen:

> request restart system

3. Nachdem das Feld nach dem Neustart angezeigt wird, bestätigen Sie die Einstellung in sdb, Die Ausgabe sollte l4_chk_sum': 0 wie folgt anzeigen:

> show system state | match fe100
.. 
cfg.hw.fe100: { 'cfg_mode': 10, 'l4_chk_sum': 0, 'usecase': 1, 'v4_v6_choice': 2,