• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

官网哪里有关于防火墙bypass接口使用和介绍文档

  • 0关注
  • 1收藏,4207浏览
粉丝: 关注:

问题描述:

官网哪里有关于防火墙或者上网行为管理的bypass接口使用和介绍文档。我想知道,透明模式接入到网络中,使用bypass 接口,设备正常运行下,DPI功能是否正常使用,能记录相应的日志

组网及组网描述:


最佳答案

已采纳

链接如https://www.h3c.com/cn/d_202203/1564010_30005_0.htm




配置Bypass功能

1. 功能简介

在Inline转发模式下,配置Bypass功能,用户流量可以不经过安全业务或者安全设备处理,直接被处理。

Bypass功能分为以下几种模式:

·     内部Bypass功能:用户流量经过安全设备Device,但不进行安全业务处理。安全设备会根据配置的Inline转发模式,选择对应的接口将用户流量直接转发或者丢弃。

·     外部Bypass功能:用户流量不经过安全设备Device,直接通过PFC(Power Free Connector,无源连接设备)设备转发。

图4-4所示,链路正常情况下,未配置Bypass功能时,用户流量转发路径如下。

图4-4 正常情况下流量转发

 

图4-5所示,当安全设备Device和PFC之间链路故障时,用户可以在安全设备上开启外部Bypass功能,使流量直接通过PFC设备转发,保证流量不间断。

图4-5 故障情况下流量转发

 

开启外部Bypass功能时,根据配置的不同有如下区分:

·     静态外部Bypass功能:用户流量直接通过PFC转发,不经过安全设备处理。

·     动态外部Bypass功能:在安全设备上将与PFC相连的两个接口加入Bridge转发实例。安全设备通过检查这两个接口的状态,决定自动启用外部Bypass功能。当透传模式Bridge实例中的某一接口状态变为DOWN时,用户流量不经过安全设备,直接通过PFC转发。同时,安全设备会周期性检查透传模式Bridge实例中接口状态,如果检查到实例中两个接口都处于UP状态,则自动关闭外部Bypass功能,恢复由安全设备处理用户流量。

2. 配置限制和指导

多次配置bypass enable命令和bypass enable external命令,最后一次执行的配置生效。

多台设备组成IRF时不支持外部Bypass功能。

配置外部Bypass功能时,需要注意:

·     本功能只能在管理Context上进行配置。对于以共享方式分配的二层以太网接口,在管理Context内配置外部bypass功能时:

¡     如果外部Bypass功能生效,用户流量通过PFC转发,用户Context中该二层以太网接口上存在影响流量转发的配置,则该配置不生效,流量仍会通过PFC转发。

¡     如果外部Bypass功能不生效,用户流量不通过PFC转发,用户Context中该二层以太网接口上存在影响流量转发的配置,则该配置生效,流量按照配置的转发规则转发。

·     本功能仅支持在手工创建的透传模式Bridge转发实例中配置,对于插入硬件Bypass子卡后设备自动创建的透传模式Bridge转发实例,仅支持内部Bypass功能。

·     本功能仅支持在一个手工创建的透传模式Bridge视图下配置。加入透传模式Bridge实例的两个接口,必须在同一slot上。

3. 配置内部Bypass功能

(1)     进入系统视图。

system-view

(2)     进入Bridge视图。

¡     进入反射模式Bridge视图。

bridge bridge-index reflect

¡     进入自动创建的透传模式Bridge视图。

bridge bridge-index

¡     进入手工创建的透传模式Bridge视图。

bridge bridge-index forward

¡     进入黑洞模式Bridge视图。

bridge bridge-index blackhole

(3)     配置内部Bypass功能。

bypass enable

缺省情况下,Bypass功能处于关闭状态。

4. 配置外部Bypass功能

(1)     进入系统视图。

system-view

(2)     进入手工创建的透传模式Bridge视图。

bridge bridge-index forward

(3)     配置外部Bypass功能。

bypass enable external [ auto [ check-interval interval ] ]

缺省情况下,Bypass功能处于关闭状态。

4.3  Bridge转发显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示Bridge学习的MAC地址信息。

表4-1 Bridge转发显示和维护

操作

命令

显示Bridge转发学习的MAC地址信息

display bridge mac-address [ bridge-index [ vlan vlan-id ] ] [ count ] [ slot slot-number ]

显示Bypass功能状态‌

display bridge bridge-id bypass status

 


感谢,找了一下午

发表时间:2022-03-25
回复:

^_^

努力成为一个很哇塞的女孩 发表时间:2022-03-25
1 个回答
知了小白
粉丝: 关注:

如果防火墙支持bypass ,需要有其他的配置吗?

只要把线缆接在bypass 接口就可以?

还是说我正常的配置透明模式接入,相应的接口加入对应的安全域,放通相应的安全策略,就可以了,当重启或者断电的时候,或者业务异常时,自动开启bypass了?


编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明