Firewall Remolque de gestión de caídas debido a la suma de comprobación de VSS-capa 4 habilitada

• Faltan algunos paquetes en la etapa de caída o recepción de pcap en el FW.
• La captura de Wireshark en la fuente muestra el VSS-tráiler Ethernet de monitoreo agregado a los paquetes que no llegan al FW.
• El contador global 'flow_fpga_rcv_igr_L4CHKSUMERR' se incrementa durante el tiempo de emisión.

• Serie 5200 de Palo Alto Firewall
• Apoyado PAN-OS

• En las plataformas como PA-5250 con el chip FE100 hardware , el FW realiza un FCS en la entrada.
• Los paquetes que contienen VSS-el remolque de administración rompen la suma de comprobación L4 y, por lo tanto, no llegan al plano de datos.
• Si la longitud total del paquete es mayor que 256 B y el paquete tiene bytes de tráiler, esto hace que la suma de comprobación L4 en el y falle, y ese paquete es descartado por el Firewall Firewall.
• Por esta razón, estos paquetes no se ven en los registros de captura o depuración de paquetes en el Firewall

1. En el , deshabilite la suma de comprobación layer4 mediante el Firewallsiguiente comando:

> set system setting layer4-checksum disable

2. Reinicie el dispositivo durante la ventana de mantenimiento para que el cambio surta efecto:

> request restart system

3. Después de que aparezca el cuadro después del reinicio, confirme la configuración en sdb, la salida debe mostrar l4_chk_sum': 0 como se muestra a continuación:

> show system state | match fe100
.. 
cfg.hw.fe100: { 'cfg_mode': 10, 'l4_chk_sum': 0, 'usecase': 1, 'v4_v6_choice': 2,