最佳答案
这个bypass 需要登录设备配置:
在Inline转发模式下,配置Bypass功能,用户流量可以不经过安全业务或者安全设备处理,直接被处理。
Bypass功能分为以下几种模式:
· 内部Bypass功能:用户流量经过IPS(Intrusion Prevention System,入侵防御系统)设备,但不进行安全业务处理。IPS设备会根据配置的Inline转发模式,选择对应的接口将用户流量直接转发或者丢弃。
· 外部Bypass功能:用户流量不经过IPS设备,直接通过PFC(Power Free Connector,无源连接设备)设备转发。
如图1-4所示,链路正常情况下,未配置Bypass功能时,用户流量转发路径如下。
如图1-5所示,当IPS和PFC之间链路故障时,用户可以在IPS设备上开启外部Bypass功能,使流量直接通过PFC设备转发,保证流量不间断。
开启外部Bypass功能时,根据配置的不同有如下区分:
· 静态外部Bypass功能:用户流量直接通过PFC转发,不经过IPS设备处理。
· 动态外部Bypass功能:在IPS设备上将与PFC相连的两个接口加入Bridge转发实例。IPS设备通过检查这两个接口的状态,决定自动启用外部Bypass功能。当转发模式Bridge实例中的某一接口状态变为DOWN时,用户流量不经过IPS设备,直接通过PFC转发。同时,IPS设备会周期性检查转发模式Bridge实例中接口状态,如果检查到实例中两个接口都处于UP状态,则自动关闭外部Bypass功能,恢复由IPS设备处理用户流量。
多次配置bypass enable命令和bypass enable external命令,最后一次执行的配置生效。
多台设备组成IRF时不支持外部Bypass功能。
配置外部Bypass功能时,需要注意:
· 本功能只能在管理Context上进行配置。对于以共享方式分配的二层以太网接口,在管理Context内配置外部bypass功能时:
¡ 如果外部Bypass功能生效,用户流量通过PFC转发,用户Context中该二层以太网接口上存在影响流量转发的配置,则该配置不生效,流量仍会通过PFC转发。
¡ 如果外部Bypass功能不生效,用户流量不通过PFC转发,用户Context中该二层以太网接口上存在影响流量转发的配置,则该配置生效,流量按照配置的转发规则转发。
· 本功能仅支持在一个转发模式Bridge视图下配置。加入转发模式Bridge实例的两个接口,必须在同一slot上。
表1-6 配置内部Bypass功能
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入反射模式Bridge视图 | bridge bridge-index reflect | 三者选其一 |
进入转发模式Bridge视图 | bridge bridge-index forward | |
进入黑洞模式Bridge视图 | bridge bridge-index blackhole | |
配置内部Bypass功能 | bypass enable | 缺省情况下,Bypass功能处于关闭状态 |
表1-7 配置外部Bypass功能
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入转发模式Bridge视图 | bridge bridge-index forward | - |
配置外部Bypass功能 | bypass enable external [ auto [ check-interval interval ] ] | 缺省情况下,Bypass功能处于关闭状态 |
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
谢谢 大佬
兄弟客气了