03-接口对
本章节下载: 03-接口对 (179.74 KB)
接口对是在数据链路层对流量进行安全监控的一种技术。目前这种技术主要应用在安全产品上,经过设备的二层网络流量会被引流到安全产品上,由安全产品过滤后再进行转发。
接口对支持以下几种工作模式:
· 反射模式:报文从同一接口收发。
· 黑洞模式:报文从一个接口接收,处理完后被丢弃。
· 转发模式:报文从一个接口接收,从另一个接口发送。
缺省情况下,设备对隧道报文进行转发时,根据封装后的信息进行转发。配置隧道报文的转发模式,可以根据封装前的信息进行转发。
在Inline转发时,开启此功能后,仅当报文的VLAN ID与会话表项中的VLAN ID匹配成功才放行此报文,否则丢弃。关闭此功能后,无需匹配VLAN ID,仅需报文与会话表项中的其他信息匹配成功就可以放行此报文。
在双机热备组网环境下,当主设备与备设备上报文入接口属于不同VLAN时,必须关闭VLAN ID检查功能,才能使从主设备上切换过来的流量或非对称的反向流量匹配备设备上的备份会话,实现安全业务功能的正常运行。
开启Bypass功能后,用户流量可以不经过安全业务或者安全设备处理,直接被处理(转发或丢弃)。
Bypass功能分为以下几种模式:
用户流量经过安全设备,但不进行安全业务处理。安全设备会根据配置的转发模式,选择对应的接口将用户流量直接转发或者丢弃。
支持的接口对工作模式:反射、黑洞和转发。
用户流量不经过安全设备,直接通过PFC(Power Free Connector,无源连接设备)设备转发。
本功能仅在接口对处于转发工作模式下支持。
外部Bypass功能分为外部静态和外部自动Bypass功能:
· 静态外部Bypass功能:用户流量直接通过PFC转发,不经过安全设备处理。
· 动态外部Bypass功能:在安全设备上将与PFC相连的两个接口加入接口对成员。安全设备通过检查这两个接口的状态,决定自动启用外部Bypass功能。当某一接口状态变为DOWN时,用户流量不经过安全设备,直接通过PFC转发。同时,安全设备会周期性检查成员的接口状态,如果检查到两个接口都处于UP状态,则自动关闭外部Bypass功能,恢复由安全设备处理用户流量。
· 仅支持添加二层或者三层物理接口以及二层聚合接口到反射/黑洞/转发模式的接口对。
· 使用设备硬件Bypass子卡时,需要配置Bypass功能为内部模式。
· 外部Bypass功能的支持情况与设备型号有关,请以设备实际情况为准。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!