安全插卡二层转发

根据报文的转发特征，Bridge转发有下列几种转发模式：

·     跨VLAN模式：在不同VLAN间进行报文转发。

·     反射模式：报文从同一接口收发。

·     透传模式：报文从一个接口接收，从另一个接口发送。

·     黑洞模式：报文从一个接口接收，处理完后被丢弃。

3.1.2  跨VLAN模式Bridge转发

跨VLAN模式Bridge转发是在数据链路层完成不同VLAN间通信的一种技术。如图3-1所示，目前这种技术主要应用在安全设备上。安全设备和交换机配合使用、经过交换机的二层网络流量由安全设备过滤后再进行转发的场景。

图3-1 Bridge转发工作机制

‌

如图3-1，交换机上配置的安全设备（Device）的Bridge转发实例（可以看作是实现一类Bridge转发模式的二层桥）为Bridge 1，Bridge 1中添加VLAN 10和VLAN 20。以ARP（Address Resolution Protocol，地址解析协议）实现为例，Bridge转发过程如下：

(1)     VLAN 10的Host A想要访问VLAN 20的Host B，Host A发送一个ARP请求报文。

a.     交换机收到请求报文的处理过程：

¡     交换机从接口Port A收到目的MAC未知的报文，交换机学习到该报文的源MAC地址0033-0033-0033，并记录该MAC地址所对应的VLAN 10和接口Port A。

¡     交换机将该报文在VLAN 10内进行广播，同时该报文会通过交换机侧内联口Port C（即用于连接交换机与安全设备的接口）发送给安全设备。

b.     安全设备收到请求报文的处理过程：

¡     安全设备收到该报文，将报文源MAC地址学习到用户配置的Bridge转发实例Bridge 1内，并且学习到该MAC地址对应的VLAN 10及安全设备侧内联口Port D。

¡     同时根据Bridge 1内用户配置的VLAN列表，将该报文在Bridge 1内配置的除报文所在VLAN 10以外的所有VLAN内进行发送，即在VLAN 20内发送该报文。在VLAN 20内发送的报文的VLAN ID将被替换为VLAN 20，生成新的报文，然后发送到VLAN 20。

¡     安全设备通过安全设备侧内联口Port D将新报文发送给交换机。

c.     交换机收到新报文的处理过程：

¡     交换机从交换机侧内联口Port C收到新的报文，学习该报文的源MAC地址并记录该MAC地址所对应的VLAN 20和交换机侧内联口Port C。

¡     同时交换机将报文在VLAN 20内广播。

(2)     VLAN 20的Host B收到新报文后，发现是要访问自己的报文，发送ARP应答报文。

a.     交换机收到应答报文的处理过程：

¡     交换机从接口Port B收到目的MAC地址0033-0033-0033的报文，交换机学习到该报文的源MAC地址0000-0000-0002并记录该MAC地址所对应的VLAN 20和接口Port B。

¡     交换机收到目的MAC地址为0033-0033-0033的已知报文，根据目的MAC地址和VLAN找到MAC地址表项，该表项的出接口为交换机侧内联口Port C，则将该报文发送给安全设备。

b.     安全设备收到应答报文的处理过程：

¡     安全设备收到回复报文，将该报文源MAC地址学习到用户配置的Bridge转发实例Bridge 1内，并且学习到该MAC地址对应的VLAN 20及安全设备侧内联口Port D。

¡     安全设备根据VLAN 20找到对应的Bridge 1下学习到的MAC地址表项，将报文的VLAN ID修改为MAC地址表项对应VLAN ID，并从安全设备侧内联口Port D将该报文发送给交换机。

c.     交换机收到新的应答报文的处理过程：

¡     交换机收到该报文后，根据目的MAC地址和VLAN找到MAC地址表项，确认出接口为Port A，将该报文发送出去。

3.1.3  Inline转发

反射模式Bridge转发、透传模式Bridge转发和黑洞模式Bridge转发统称为Inline转发。

Inline转发是在数据链路层对流量进行安全监控的一种技术。目前这种技术主要应用在安全产品上，在设备上配置lnline转发功能，使相关二层网络流量都经过安全业务处理后再进行转发。

1. 反射/黑洞模式Bridge转发组网部署

反射/黑洞模式Bridge转发中，Device B与Device A通过一个物理接口通信。对于反射模式Bridge转发，Device B通过同一接口完成报文的收发；对于黑洞模式Bridge转发，Device B收到报文后，先处理完安全业务，然后丢弃该报文。反射/黑洞模式Bridge转发一般适用于Device B旁挂的组网部署，Device A可直接接入网络。反射/黑洞模式Bridge转发如图3-2所示。

图3-2 反射/黑洞模式Bridge转发

‌

2. 透传模式Bridge转发组网部署

透传模式Bridge转发中，Device B与Device A通过两个物理接口通信，即Device B通过其中的一个接口收报文，通过另外一个接口发报文。透传模式Bridge转发一般适用于Device B直连的组网部署，Device A通过Device B接入网络。透传模式Bridge转发如图3-3所示。

图3-3 透传模式Bridge转发

‌

3. Inline转发报文处理流程

在图3-2、图3-3中，以VM（Virtual Machine，虚拟机）间的报文交互为例，Inline转发过程如下：

(1)     VM 1与VM 2的内部流量通过Device A转发，Device A将收到的报文引流到与之相连的Device B上。

(2)     Device B将收到的IP报文交给安全业务进行处理，其他报文直接返回给Device A。

(3)     Device B处理通过安全业务过滤的报文，根据报文信息建立对应的转发表项，并将报文返回给Device A。

3.2  配置Bridge转发

3.2.1  配置跨VLAN模式Bridge转发

(1)     进入系统视图。

system-view

(2)     （可选）设置Bridge转发的MAC地址的老化时间。

bridge mac-address timer aging seconds

缺省情况下，Bridge转发的MAC的老化时间为300秒。

本命令的支持情况与设备型号有关，具体请参见命令参考。

(3)     创建跨VLAN模式Bridge转发实例，并进入Bridge视图。

bridge bridge-index inter-vlan

(4)     向Bridge转发实例中添加VLAN列表。

add vlan vlan-id-list

(5)     （可选）配置Bridge实例下的MAC地址最大学习数。

mac-address max-mac-count count

缺省情况下，Bridge实例下的MAC地址最大学习数为4096。

本命令的支持情况与设备型号有关，具体请参见命令参考。

3.2.2  配置Inline转发

1. 配置限制和指导

透传模式Bridge转发实例可以通过命令行手工创建，也可以通过插入硬件Bypass子卡后由设备自动生成。插入硬件Bypass子卡前，需保证设备上不存在跨VLAN模式Bridge转发实例，否则将导致自动创建透传模式Bridge转发实例失败。

在安全设备上配置Inline转发时，需要关闭与其连接的交换机上对应互连口的MAC地址学习功能，否则可能造成MAC地址频繁迁移。

向Bridge转发实例中添加接口时需要注意：

·     每个反射/黑洞模式Bridge转发实例只能添加一个接口

·     每个手工创建的透传模式Bridge转发实例只能添加两个接口，且这两个接口的类型必须保持一致

·     对于自动创建的透传模式Bridge转发实例，设备在自动创建Bridge转发实例后，会自动将子卡上的一对接口添加到此Bridge转发实例中，且自动创建的透传模式Bridge转发实例不支持手工添加或删除接口

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     （可选）配置Inline转发时忽略报文的隧道封装。

bridge tunnel-encapsulation skip

缺省情况下，Inline转发时未忽略报文的隧道封装。

(3)     手工创建不同模式的转发实例，并进入Bridge视图。

¡     创建反射模式Bridge转发实例，并进入Bridge视图。

bridge bridge-index reflect

¡     创建透传模式Bridge转发实例，并进入Bridge视图。

bridge bridge-index forward

¡     创建黑洞模式Bridge转发实例，并进入Bridge视图。

bridge bridge-index blackhole

缺省情况下，不存在手工创建的Bridge转发实例。

本命令中bridge-index参数的支持情况与设备的型号有关，具体请参见命令参考。

(4)     向Bridge转发实例中添加接口。

add interface interface-type interface-number

缺省情况下，手工创建的Bridge转发实例中未添加任何接口。

3.2.3  配置Bypass功能

1. 功能简介

在Inline转发模式下，配置Bypass功能，用户流量可以不经过安全业务或者安全设备处理，直接被处理。

Bypass功能分为以下几种模式：

·     内部Bypass功能：用户流量经过安全设备Device，但不进行安全业务处理。安全设备会根据配置的Inline转发模式，选择对应的接口将用户流量直接转发或者丢弃。

·     外部Bypass功能：用户流量不经过安全设备Device，直接通过PFC（Power Free Connector，无源连接设备）设备转发。

如图3-4所示，链路正常情况下，未配置Bypass功能时，用户流量转发路径如下。

图3-4 正常情况下流量转发

如图3-5所示，当安全设备Device和PFC之间链路故障时，用户可以在安全设备上开启外部Bypass功能，使流量直接通过PFC设备转发，保证流量不间断。

图3-5 故障情况下流量转发

开启外部Bypass功能时，根据配置的不同有如下区分：

·     静态外部Bypass功能：用户流量直接通过PFC转发，不经过安全设备处理。

·     动态外部Bypass功能：在安全设备上将与PFC相连的两个接口加入Bridge转发实例。安全设备通过检查这两个接口的状态，决定自动启用外部Bypass功能。当透传模式Bridge实例中的某一接口状态变为DOWN时，用户流量不经过安全设备，直接通过PFC转发。同时，安全设备会周期性检查透传模式Bridge实例中接口状态，如果检查到实例中两个接口都处于UP状态，则自动关闭外部Bypass功能，恢复由安全设备处理用户流量。