支持的：

Bypass功能特性

Bypass功能包括外部Bypass、内部Bypass和DPI-Bypass功能：

·     外部Bypass功能是指用户流量不经过安全设备Device，直接通过PFC（Power Free Connector，无源连接设备）设备转发。关于PFC的详细介绍，请参见《H3C SecPath PFC 快速入门》。其中外部Bypass功能分为外部自动Bypass和外部静态Bypass：

¡     外部自动Bypass是Device作为入侵防御设备保护企业内网用户免受来自Internet的攻击。单机部署时又不能因为Device的硬件原因出现网络故障，因此在Device正常的情况下仍然需要其对流量进行入侵防护，当出现Device异常（如设备断电、重启、接口down）需要流量不能受影响。

¡     外部静态Bypass是Device作为入侵防御设备保护企业内网用户免受来自Internet的攻击。当Device需要进行升级重启、或需要进行影响流量的操作配置、网络流量异常进行问题排查等，可以先通过手动执行外部静态Bypass功能来让流量直接通过PFC，不再经过Device进行处理；当环境恢复后，再关闭外部静态Bypass功能，让流量进行通过Device进行入侵防御

·     内部Bypass是Device作为入侵防御设备保护企业内网用户免受来自Internet的攻击。但由于Device的原因企业网络流量出现异常，如流量不通、流量卡顿等，需要进行问题排查，可以先通过手动执行内部Bypass功能让流量虽然经过安全设备，但不进行安全业务处理。安全设备会根据配置的转发模式，选择对应的接口将用户流量直接转发或者丢弃。

·     DPI-Bypass功能是指用户关闭应层检测引擎功能后，系统将不会对接收到的报文进行DPI深度安全处理。若出现系统CPU使用率过高等情况，可通过开启Bypass功能来保证设备的正常运行。

4  外部Bypass功能典型配置

4.1  外部自动Bypass功能典型配置

4.1.1  组网需求

如图1所示，Device作为入侵防御设备保护企业内网用户免受来自Internet的攻击。单机部署时又不能因为Device的硬件原因出现网络故障，因此在Device正常的情况下仍然需要其对流量进行入侵防护，当出现Device异常（如设备断电、重启、接口down）需要流量不能受影响。设备与PFC的接线图如图2所示。

图1 配置组网图

图2 设备接线图

4.1.2  使用版本

本举例是在T1000-AI-90的R8860版本上进行配置和验证的。

4.1.3  使用限制

·     仅支持添加二层或者三层物理接口以及二层聚合接口到转发模式的接口对。

·     本功能的支持情况与设备型号有关，请以设备实际情况为准。

4.1.4  配置步骤

1. 配置接口对，实现硬件外部自动Bypass

# 选择“网络 > 接口 > 接口对 > 接口对”，进入接口对配置页面。

# 单击<新建>按钮，进入新建接口对配置页面。配置如下：

·     工作模式：转发

·     Bypass功能：开启

·     Bypass模式：外部自动

·     成员：向接口一中添加GE1/0/2；接口二中添加GE1/0/3

图3 接口对配置图

4.1.5  验证配置

# 当设备和PFC之间链路故障时，HostA和HostB之间的流量直接通过PFC设备转发；当链路恢复正常状态后，设备自动关闭外部Bypass功能，恢复由设备处理HostA和HostB之间的流量。

图4 外部自动Bypass

4.1.6  配置文件

#

bridge 1 forward

 bypass enable external auto

 add interface GigabitEthernet1/0/2

 add interface GigabitEthernet1/0/3

#

4.2  外部静态Bypass功能典型配置

4.2.1  组网需求

如图5所示，Device作为入侵防御设备保护企业内网用户免受来自Internet的攻击。当Device需要进行升级重启、或需要进行影响流量的操作配置、网络流量异常进行问题排查等，可以先通过手动执行外部静态Bypass功能来让流量直接通过PFC，不再经过Device进行处理；当环境恢复后，再关闭外部静态Bypass功能，让流量进行通过Device进行入侵防御。设备与PFC的接线图如图6所示。

图5 配置组网图

图6 设备接线图

4.2.2  使用版本

本举例是在T1000-AI-90的R8860版本上进行配置和验证的。

4.2.3  使用限制

·     仅支持添加二层或者三层物理接口以及二层聚合接口到转发模式的接口对。

·     本功能的支持情况与设备型号有关，请以设备实际情况为准。

4.2.4  配置步骤

1. 配置接口对，实现硬件外部静态Bypass

# 选择“网络 > 接口 > 接口对 > 接口对”，进入接口对配置页面。

# 单击<新建>按钮，进入新建接口对配置页面。配置如下：

·     工作模式：转发

·     Bypass功能：开启

·     Bypass模式：外部静态

·     成员：向接口一中添加GE1/0/2；接口二中添加GE1/0/3

图7 接口对配置图

4.2.5  验证配置

# 外部静态Bypass启用后，Inline转发接口会闪断，HostA和HostB之间的流量直接通过PFC设备转发，不经过设备处理。

图8 外部静态Bypass

4.2.6  配置文件

#

bridge 1 forward

 bypass enable external

 add interface GigabitEthernet1/0/2

 add interface GigabitEthernet1/0/3

#

5  内部Bypass功能典型配置

5.1  组网需求

如图9所示，Device作为入侵防御设备保护企业内网用户免受来自Internet的攻击。但由于Device的原因企业网络流量出现异常，如流量不通、流量卡顿等，需要进行问题排查，可以先通过手动执行内部Bypass功能让流量虽然经过安全设备，但不进行安全业务处理。安全设备会根据配置的转发模式，选择对应的接口将用户流量直接转发或者丢弃。

图9 配置组网图

图10 设备连线图

5.2  使用版本

本举例是在T1000-AI-90的R8860版本上进行配置和验证的。

5.3  使用限制

·     仅支持添加二层物理接口以及二层聚合接口到转发模式的接口对。

·     本功能的支持情况与设备型号有关，请以设备实际情况为准。

5.4  配置步骤

1. 配置接口对，实现自动Bypass

# 选择“网络 > 接口 > 接口对 > 接口对”，进入接口对配置页面。

# 单击<新建>按钮，进入新建接口对配置页面。配置如下：

·     工作模式：转发

·     Bypass功能：开启

·     Bypass模式：内部

·     成员：向接口一中添加GE1/0/2；接口二中添加GE1/0/3

图11 接口对配置图

5.5  验证配置

# HostA和HostB之间的流量直接通过设备转发，但不进行安全业务处理。

图12 内部Bypass

5.6  配置文件

#

bridge 1 forward

 bypass enable

 add interface GigabitEthernet1/0/2

 add interface GigabitEthernet1/0/3

#

6  DPI-Bypass功能典型配置

6.1  组网需求

如图13所示，正常情况下，HostA和HostB之间的流量通过Device进行处理。管理员开启Bypass功能，HostA和HostB之间的流量通过Device后，不进行深度安全监测处理，当Device系统CPU使用率过高等情况，可通过开启Bypass功能来保证设备的正常运行。

图13 配置组网图

6.2  使用版本

本举例是在T1000-AI-90的R8860版本上进行配置和验证的。

6.3  使用限制

·     开启Bypass服务将关闭应用层检测引擎，系统将不会对接收到的报文进行DPI深度安全处理。使用此功能前，请确保设备不需要进行DPI深度安全处理。

·     本功能的支持情况与设备型号有关，请以设备实际情况为准。

6.4  配置步骤

1. 关闭应用层检测引擎，实现DPI-Bypass

# 选择“对象 > 应用安全 > 高级配置”，进入高级配置页面。

# 单击勾选开启，点击确定，完成Bypass的配置。

图14 开启DPI-Bypass配置图

6.5  验证配置

# HostA和HostB之间的流量通过Device进行处理。管理员开启Bypass功能，HostA和HostB之间的流量通过Device后，不进行深度安全监测处理，当Device系统CPU使用率过高等情况，可通过开启Bypass功能来保证设备的正常运行。

图15 开启DPI-Bypass

6.6  配置文件

#

Inspect bypass

#