- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-接口對
本章節下載: 03-接口對 (179.60 KB)
接口對是在數據鏈路層對流量進行安全監控的一種技術。目前這種技術主要應用在安全產品上,經過設備的二層網絡流量會被引流到安全產品上,由安全產品過濾後再進行轉發。
接口對支持以下幾種工作模式:
· 反射模式:報文從同一接口收發。
· 黑洞模式:報文從一個接口接收,處理完後被丟棄。
· 轉發模式:報文從一個接口接收,從另一個接口發送。
缺省情況下,設備對隧道報文進行轉發時,根據封裝後的信息進行轉發。配置隧道報文的轉發模式,可以根據封裝前的信息進行轉發。
在Inline轉發時,開啟此功能後,僅當報文的VLAN ID與會話表項中的VLAN ID匹配成功才放行此報文,否則丟棄。關閉此功能後,無需匹配VLAN ID,僅需報文與會話表項中的其他信息匹配成功就可以放行此報文。
在雙機熱備組網環境下,當主設備與備設備上報文入接口屬於不同VLAN時,必須關閉VLAN ID檢查功能,才能使從主設備上切換過來的流量或非對稱的反向流量匹配備設備上的備份會話,實現安全業務功能的正常運行。
開啟Bypass功能後,用戶流量可以不經過安全業務或者安全設備處理,直接被處理(轉發或丟棄)。
Bypass功能分為以下幾種模式:
用戶流量經過安全設備,但不進行安全業務處理。安全設備會根據配置的轉發模式,選擇對應的接口將用戶流量直接轉發或者丟棄。
支持的接口對工作模式:反射、黑洞和轉發。
用戶流量不經過安全設備,直接通過PFC(Power Free Connector,無源連接設備)設備轉發。
本功能僅在接口對處於轉發工作模式下支持。
外部Bypass功能分為外部靜態和外部自動Bypass功能:
· 靜態外部Bypass功能:用戶流量直接通過PFC轉發,不經過安全設備處理。
· 動態外部Bypass功能:在安全設備上將與PFC相連的兩個接口加入接口對成員。安全設備通過檢查這兩個接口的狀態,決定自動啟用外部Bypass功能。當某一接口狀態變為DOWN時,用戶流量不經過安全設備,直接通過PFC轉發。同時,安全設備會周期性檢查成員的接口狀態,如果檢查到兩個接口都處於UP狀態,則自動關閉外部Bypass功能,恢複由安全設備處理用戶流量。
· 僅支持添加二層或者三層物理接口以及二層聚合接口到反射/黑洞/轉發模式的接口對。
· 使用設備硬件Bypass子卡時,需要配置Bypass功能為內部模式。
· 外部Bypass功能的支持情況與設備型號有關,請以設備實際情況為準。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
