官网哪里有关于防火墙bypass接口使用和介绍文档

链接如https://www.h3c.com/cn/d_202203/1564010_30005_0.htm

配置Bypass功能

1. 功能简介

在Inline转发模式下，配置Bypass功能，用户流量可以不经过安全业务或者安全设备处理，直接被处理。

Bypass功能分为以下几种模式：

·     内部Bypass功能：用户流量经过安全设备Device，但不进行安全业务处理。安全设备会根据配置的Inline转发模式，选择对应的接口将用户流量直接转发或者丢弃。

·     外部Bypass功能：用户流量不经过安全设备Device，直接通过PFC（Power Free Connector，无源连接设备）设备转发。

如图4-4所示，链路正常情况下，未配置Bypass功能时，用户流量转发路径如下。

图4-4 正常情况下流量转发

如图4-5所示，当安全设备Device和PFC之间链路故障时，用户可以在安全设备上开启外部Bypass功能，使流量直接通过PFC设备转发，保证流量不间断。

图4-5 故障情况下流量转发

开启外部Bypass功能时，根据配置的不同有如下区分：

·     静态外部Bypass功能：用户流量直接通过PFC转发，不经过安全设备处理。

·     动态外部Bypass功能：在安全设备上将与PFC相连的两个接口加入Bridge转发实例。安全设备通过检查这两个接口的状态，决定自动启用外部Bypass功能。当透传模式Bridge实例中的某一接口状态变为DOWN时，用户流量不经过安全设备，直接通过PFC转发。同时，安全设备会周期性检查透传模式Bridge实例中接口状态，如果检查到实例中两个接口都处于UP状态，则自动关闭外部Bypass功能，恢复由安全设备处理用户流量。

2. 配置限制和指导

多次配置bypass enable命令和bypass enable external命令，最后一次执行的配置生效。

多台设备组成IRF时不支持外部Bypass功能。

配置外部Bypass功能时，需要注意：

·     本功能只能在管理Context上进行配置。对于以共享方式分配的二层以太网接口，在管理Context内配置外部bypass功能时：

¡     如果外部Bypass功能生效，用户流量通过PFC转发，用户Context中该二层以太网接口上存在影响流量转发的配置，则该配置不生效，流量仍会通过PFC转发。

¡     如果外部Bypass功能不生效，用户流量不通过PFC转发，用户Context中该二层以太网接口上存在影响流量转发的配置，则该配置生效，流量按照配置的转发规则转发。

·     本功能仅支持在手工创建的透传模式Bridge转发实例中配置，对于插入硬件Bypass子卡后设备自动创建的透传模式Bridge转发实例，仅支持内部Bypass功能。

·     本功能仅支持在一个手工创建的透传模式Bridge视图下配置。加入透传模式Bridge实例的两个接口，必须在同一slot上。

3. 配置内部Bypass功能

(1)     进入系统视图。

system-view

(2)     进入Bridge视图。

¡     进入反射模式Bridge视图。

bridge bridge-index reflect

¡     进入自动创建的透传模式Bridge视图。

bridge bridge-index

¡     进入手工创建的透传模式Bridge视图。

bridge bridge-index forward

¡     进入黑洞模式Bridge视图。

bridge bridge-index blackhole

(3)     配置内部Bypass功能。

bypass enable

缺省情况下，Bypass功能处于关闭状态。

4. 配置外部Bypass功能

(1)     进入系统视图。

system-view

(2)     进入手工创建的透传模式Bridge视图。

bridge bridge-index forward

(3)     配置外部Bypass功能。

bypass enable external [ auto [ check-interval interval ] ]

缺省情况下，Bypass功能处于关闭状态。

4.3  Bridge转发显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示Bridge学习的MAC地址信息。

表4-1 Bridge转发显示和维护