Firewall 滴VSS-由于启用了第 4 层校验和而导致的管理尾部

• 在 pcap 的丢弃或接收阶段丢失了一些数据包FW.
• 源代码处的 Wireshark 捕获显示VSS-监控添加到未到达的数据包的以太网尾部FW.
• 全局计数器' flow_fpga_rcv_igr_L4CHKSUMERR'发行期间递增。

• 帕洛阿尔托 5200 系列 Firewall
• 支持的 PAN-OS

• 在像这样的平台上PA-5250与 FE100hardware芯片FW执行一个FCS在入口处。
• 包含的数据包VSS-管理尾部破坏了 L4 校验和，因此没有进入数据平面。
• 如果数据包总长度超过256B并且数据包有尾部字节，这会导致 L4 校验和Firewall并失败，并且该数据包被丢弃Firewall.
• 出于这个原因，这些数据包不会出现在数据包捕获或调试日志中 Firewall

1. 在Firewall，使用以下命令禁用 layer4 校验和：

> set system setting layer4-checksum disable

2. 在维护窗口期间重启设备以使更改生效：

> request restart system

3. 重启后出现框，确认sdb中的设置，输出应该显示l4_chk_sum'：0如下：

> show system state | match fe100
.. 
cfg.hw.fe100: { 'cfg_mode': 10, 'l4_chk_sum': 0, 'usecase': 1, 'v4_v6_choice': 2,