Firewall abandonne la VSS-bande-annonce de gestion en raison de l’activation de la somme de contrôle de la couche 4

• Certains paquets sont manquants dans l’étape de dépôt ou de réception de pcap sur le FWfichier .
• La capture de Wireshark à la source montre la VSS-remorque Ethernet de surveillance ajoutée aux paquets qui n’atteignent pas le FW.
• Le compteur mondial « flow_fpga_rcv_igr_L4CHKSUMERR » s'incrémente au moment de l'émission.

• Palo Alto série 5200 Firewall
• Soutenu PAN-OS

• Sur les plates-formes comme PA-5250 avec la puce FE100 hardware , le FW effectue une FCS entrée.
• Les paquets contenant VSS-la remorque de gestion cassent la somme de contrôle L4 et n’atteignent donc pas le plan de données.
• Si la longueur totale du paquet est supérieure à 256 B et que le paquet a des octets de bande-annonce, la somme de contrôle L4 sur le et échoue et ce paquet est abandonné par le Firewall Firewall.
• Pour cette raison, ces paquets ne sont pas visibles dans les journaux de capture ou de débogage des paquets sur le Firewall

1. Sur la commande , désactivez la somme de contrôle de la couche 4 à l’aide de la Firewallcommande ci-dessous :

> set system setting layer4-checksum disable

2. Redémarrez l’appareil pendant la fenêtre de maintenance pour effectuer la modification :

> request restart system

3. Une fois que la boîte apparaît après le redémarrage, confirmez le réglage dans sdb, La sortie devrait afficher l4_chk_sum': 0 comme ci-dessous:

> show system state | match fe100
.. 
cfg.hw.fe100: { 'cfg_mode': 10, 'l4_chk_sum': 0, 'usecase': 1, 'v4_v6_choice': 2,