官网哪里有关于防火墙或者上网行为管理的bypass接口使用和介绍文档。我想知道,透明模式接入到网络中,使用bypass 接口,设备正常运行下,DPI功能是否正常使用,能记录相应的日志
(0)
最佳答案
在Inline转发模式下,配置Bypass功能,用户流量可以不经过安全业务或者安全设备处理,直接被处理。
Bypass功能分为以下几种模式:
· 内部Bypass功能:用户流量经过安全设备Device,但不进行安全业务处理。安全设备会根据配置的Inline转发模式,选择对应的接口将用户流量直接转发或者丢弃。
· 外部Bypass功能:用户流量不经过安全设备Device,直接通过PFC(Power Free Connector,无源连接设备)设备转发。
如图4-4所示,链路正常情况下,未配置Bypass功能时,用户流量转发路径如下。
如图4-5所示,当安全设备Device和PFC之间链路故障时,用户可以在安全设备上开启外部Bypass功能,使流量直接通过PFC设备转发,保证流量不间断。
开启外部Bypass功能时,根据配置的不同有如下区分:
· 静态外部Bypass功能:用户流量直接通过PFC转发,不经过安全设备处理。
· 动态外部Bypass功能:在安全设备上将与PFC相连的两个接口加入Bridge转发实例。安全设备通过检查这两个接口的状态,决定自动启用外部Bypass功能。当透传模式Bridge实例中的某一接口状态变为DOWN时,用户流量不经过安全设备,直接通过PFC转发。同时,安全设备会周期性检查透传模式Bridge实例中接口状态,如果检查到实例中两个接口都处于UP状态,则自动关闭外部Bypass功能,恢复由安全设备处理用户流量。
多次配置bypass enable命令和bypass enable external命令,最后一次执行的配置生效。
多台设备组成IRF时不支持外部Bypass功能。
配置外部Bypass功能时,需要注意:
· 本功能只能在管理Context上进行配置。对于以共享方式分配的二层以太网接口,在管理Context内配置外部bypass功能时:
¡ 如果外部Bypass功能生效,用户流量通过PFC转发,用户Context中该二层以太网接口上存在影响流量转发的配置,则该配置不生效,流量仍会通过PFC转发。
¡ 如果外部Bypass功能不生效,用户流量不通过PFC转发,用户Context中该二层以太网接口上存在影响流量转发的配置,则该配置生效,流量按照配置的转发规则转发。
· 本功能仅支持在手工创建的透传模式Bridge转发实例中配置,对于插入硬件Bypass子卡后设备自动创建的透传模式Bridge转发实例,仅支持内部Bypass功能。
· 本功能仅支持在一个手工创建的透传模式Bridge视图下配置。加入透传模式Bridge实例的两个接口,必须在同一slot上。
(1) 进入系统视图。
system-view
(2) 进入Bridge视图。
¡ 进入反射模式Bridge视图。
bridge bridge-index reflect
¡ 进入自动创建的透传模式Bridge视图。
bridge bridge-index
¡ 进入手工创建的透传模式Bridge视图。
bridge bridge-index forward
¡ 进入黑洞模式Bridge视图。
bridge bridge-index blackhole
(3) 配置内部Bypass功能。
bypass enable
缺省情况下,Bypass功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入手工创建的透传模式Bridge视图。
bridge bridge-index forward
(3) 配置外部Bypass功能。
bypass enable external [ auto [ check-interval interval ] ]
缺省情况下,Bypass功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示Bridge学习的MAC地址信息。
表4-1 Bridge转发显示和维护
操作 | 命令 |
显示Bridge转发学习的MAC地址信息 | display bridge mac-address [ bridge-index [ vlan vlan-id ] ] [ count ] [ slot slot-number ] |
显示Bypass功能状态 | display bridge bridge-id bypass status |
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
^_^