- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath 安全产品
Bypass功能典型配置
Copyright © 2025新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍Bypass功能的典型配置。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解Bypass特性。
Bypass功能包括硬件Bypass和软件Bypass,其中硬件Bypass包括外置Bypass主机和设备内置(包括设备自带的Bypass接口和使用Bypass接口卡);软件Bypass是指DPI-Bypass功能。
硬件Bypass功能:
· 外部Bypass功能是指用户流量不经过安全设备Device,直接通过PFC(Power Free Connector,无源连接设备)设备转发。关于PFC的详细介绍,请参见《H3C SecPath PFC 快速入门》。其中外部Bypass功能分为外部自动Bypass和外部静态Bypass:
¡ 外部自动Bypass是Device作为安全设备保护企业内网用户免受来自Internet的攻击。单机部署时又不能因为Device的硬件原因出现网络故障,因此在Device正常的情况下仍然需要其对流量进行入侵防护,当出现Device异常(如设备断电、重启、接口down)需要流量不能受影响。
¡ 外部静态Bypass是Device作为安全设备保护企业内网用户免受来自Internet的攻击。当Device需要进行升级重启、或需要进行影响流量的操作配置、网络流量异常进行问题排查等,可以先通过手动执行外部静态Bypass功能来让流量直接通过PFC,不再经过Device进行处理;当环境恢复后,再关闭外部静态Bypass功能,让流量进行通过Device进行防护
· 接口模块的Bypass功能是当Device需要进行升级重启、或需要绕过设备进行流量转发等操作时,可以通过接口模块的BYPASS功能,使流量直接通过接口卡转发;当环境恢复后,再关闭BYPASS功能,让流量通过Device进行处理。
· 内部Bypass是Device作为安全设备保护企业内网用户免受来自Internet的攻击。但由于Device的原因企业网络流量出现异常,如流量不通、流量卡顿等,需要进行问题排查,可以先通过手动执行内部Bypass功能让流量虽然经过安全设备,但不进行安全业务处理。安全设备会根据配置的转发模式,选择对应的接口将用户流量直接转发或者丢弃。
软件Bypass功能:
· DPI-Bypass功能是指用户关闭应层检测引擎功能后,系统将不会对接收到的报文进行DPI深度安全处理。若出现系统CPU使用率过高等情况,可通过开启Bypass功能来保证设备的正常运行。
图4-1 PFC的工作原理
如图4-1所示,PFC接口卡(以8EPM电接口卡为例)上共有8个接口,分别是NET A、A、B和NET B,分上、下两行排列,每一行的四个接口为一组,可以用来保护一个段。
NET A、A、B和NET B的连接对象分别为:
l NET A:连接外网接口;
l A:连接加入了设备外部域的接口;
l B:连接加入了设备内部域的接口;
l NET B:连接内网接口。
流量方向:
(1) 设备正常工作时,外网流量从接口NET A进入,接着通过接口A,经过设备的内部域和外部域之后,再由接口B进入PFC,然后到达接口NET B,最后到达内网。流量方向如图4-1中的实线所示。
(2) 如果设备发生断电、重启或者设备接口变成down状态,接口NET A与NET B将直接连通,流量不会再经过接口A、B、C和D。流量方向如图4-1中的虚线所示。
需要注意的是:
(1) 为保证设备在非正常情况下,PFC可正常使用,设备需要配置外部Bypass功能。具体请参见配置指导手册中的二层转发模块。
(2) 接口NET A、A和接口NET B、B是对等的关系,即流量的方向可以互换,具体如下表所示:
表4-1 PFC的流量方向
|
设备的状态 |
流量方向 |
|
正常工作时 |
外网接口→NET A→A→加入设备外部域的接口→加入设备内部域的接口→B →NET B→内网接口(与图4-1中实线的方向相同) 或者 外网接口→NET B→B →加入设备外部域的接口→加入设备内部域的接口→A →NET A→内网接口(与图4-1中实线的方向相反) |
|
发生断电 、重启或者接口变成down状态时 |
外网接口→NET A →NET B→内网接口(与图4-1中虚线的方向相同) 或者 外网接口→NET B→NET A→内网接口(与图4-1中虚线的方向相反) |
(3) 如果设备同时配置了两个段并且和PFC相连时,当其中一个段的接口处于down状态时,就会引发PFC进行流量切换。因为掉电和链路状态发生变化,将会对整个PFC的当前工作模式产生影响。
在上述工作原理中,已经比较清楚地介绍了PFC与设备各种接口的连接关系:接口NET A和NET B分别连接用户网络的外网接口和内网接口,接口A和B分别连接加入了设备外部域和内部域的接口;或者是接口NET A和NET B分别连接用户网络的内网接口和外网接口,接口A和B分别连接加入了设备内部域和外部域的接口。
在连接4FPM卡的光纤时,由于每个光口对应两根光纤,并且都分别有收和发两个方向,在连接光纤时需要注意光纤的线序。
具体连接方法如图4-2所示:
图4-2 连接光接口卡(4FPM)的光纤
4FPM的光口只支持多模,仅支持与设备的多模光口对接,且设备所使用的光卡的波长范围需要限制在850nm或者1310nm。此外还要保证设备的光口特性与对端设备的光口特性是一致的,否则链路有可能不通。从这个角度来看,PFC对设备和对端设备来说是透明的。
光口特性主要包括如下几个方面:
l 发送光功率
l 接收灵敏度
l 过载光功率
l 中心波长
l 最大传输距离
l 光纤类型
l 光口在没有连接光纤连接器或者防尘盖被打开的情况下,可能会有不可见的射线从光口射出来,所以请不要直视光口。
l 如果光口不再继续连接光纤连接器,请及时装上防尘盖,以防止灰尘进入光口。
l 不允许过度弯折光纤,其曲率半径应不小于10cm。
PFC初始工作时,需要通过USB线缆连接设备获得供电,图中举例设备仅指导用户连线,具体请以实际的情况为准。
为保证PFC正常工作,请使用随机附带的USB线缆。
PFC随机附带两种USB线缆:
· 第一种USB线缆具有三个端头,其中单头端和双头端均为A型连接器。为方便叙述,本文将这种类型的USB线缆简称为3A型线缆。3A型线缆适用于具有两个A型USB口的设备。如图4-3所示。若PFC上安装了电接口卡,连接时,3A型线缆的单头端与PFC的USB口相连,3A型线缆的双头端的2个A型连接器必须与设备的两个A型USB口相连,否则PFC将无法正常使用。如图4-4所示。若PFC上安装了光接口卡,连接时,3A型线缆的单头端与PFC的USB口相连,3A型线缆的双头端的其中一个A型连接器与设备的A型USB口相连,PFC即可正常使用。
图4-3 3A型线缆的单端头和对应的A型USB口
· 第二种USB线缆具有两个端头,其中一个端头为A型连接器,另一个端头为B型连接器。为方便叙述,本文将这种类型的USB线缆简称为A+B型线缆。A+B型线缆适用于具有B型USB口的设备。如图4-5所示。连接时,A+B型线缆的A型连接器端与PFC的USB口相连,B型连接器端与设备的B型USB口相连。如图4-6所示。
图4-5 A+B型线缆的B型端头和对应的B型USB口
图4-6 连接A+B型USB线缆
完成接口线缆和USB线缆连接后,请根据PFC的调试中所述的方法对PFC进行调试,如果满足调试要求,PFC即可进行正常工作。
在PFC的使用过程中,连接好各种线缆之后务必进行调试。调试的过程需要严格按照如下步骤进行:
(1) 用两根网线分别连接外网接口和NET A、内网接口和NET B,PFC暂时不连接设备(包括网口和USB口),此时,观察链路是否正常。
网线的线序要确保和用户网络的线序要求一致,否则可能导致链路不通。例如:若未连接PFC之前,外网接口连接内网接口用的是一根交叉线,那么在连接PFC之后,外网接口连接NET A的网线、NET B连接内网接口的网线就要求分别为一根交叉线和一根平行线。
(2) 确保步骤(1)正常之后,再用两根网线分别连接接口A和加入了设备外部域的接口、接口B和加入了设备内部域的接口,然后启动设备。当设备启动完毕后,观察链路是否正常,此时流量的走向应该是:外网接口 → NET A→ A → 加入了设备外部域的接口 → 加入了设备内部域的接口 → B → NETB → 内网接口。
如果步骤(1)和(2)中的链路都没有问题,则PFC的硬件安装和线缆连接都没有问题。
如图4-7所示,Device作为安全设备保护企业内网用户免受来自Internet的攻击。单机部署时又不能因为Device的硬件原因出现网络故障,因此在Device正常的情况下仍然需要其对流量进行入侵防护,当出现Device异常(如设备断电、重启、接口down)需要流量不能受影响。设备与PFC的接线图如图4-8所示。
本举例是在T1000-AI-90的R8860版本上进行配置和验证的。
· 仅支持添加二层或者三层物理接口以及二层聚合接口到转发模式的接口对。
· 本功能的支持情况与设备型号有关,请以设备实际情况为准。
# 选择“网络 > 接口 > 接口对 > 接口对”,进入接口对配置页面。
# 单击<新建>按钮,进入新建接口对配置页面。配置如下:
· 工作模式:转发
· Bypass功能:开启
· Bypass模式:外部自动
· 成员:向接口一中添加GE1/0/2;接口二中添加GE1/0/3
图4-9 接口对配置图
# 当设备和PFC之间链路故障时,HostA和HostB之间的流量直接通过PFC设备转发;当链路恢复正常状态后,设备自动关闭外部Bypass功能,恢复由设备处理HostA和HostB之间的流量。
图4-10 外部自动Bypass
#
bridge 1 forward
bypass enable external auto
add interface GigabitEthernet1/0/2
add interface GigabitEthernet1/0/3
#
如图4-11所示,Device作为安全设备保护企业内网用户免受来自Internet的攻击。当Device需要进行升级重启、或需要进行影响流量的操作配置、网络流量异常进行问题排查等,可以先通过手动执行外部静态Bypass功能来让流量直接通过PFC,不再经过Device进行处理;当环境恢复后,再关闭外部静态Bypass功能,让流量进行通过Device进行防护。设备与PFC的接线图如图4-12所示。
本举例是在T1000-AI-90的R8860版本上进行配置和验证的。
· 仅支持添加二层或者三层物理接口以及二层聚合接口到转发模式的接口对。
· 本功能的支持情况与设备型号有关,请以设备实际情况为准。
# 选择“网络 > 接口 > 接口对 > 接口对”,进入接口对配置页面。
# 单击<新建>按钮,进入新建接口对配置页面。配置如下:
· 工作模式:转发
· Bypass功能:开启
· Bypass模式:外部静态
· 成员:向接口一中添加GE1/0/2;接口二中添加GE1/0/3
图4-13 接口对配置图
# 外部静态Bypass启用后,Inline转发接口会闪断,HostA和HostB之间的流量直接通过PFC设备转发,不经过设备处理。
图4-14 外部静态Bypass
#
bridge 1 forward
bypass enable external
add interface GigabitEthernet1/0/2
add interface GigabitEthernet1/0/3
#
如图5-1所示,Device作为安全设备保护企业内网用户免受来自Internet的攻击。当Device需要进行升级重启、或需要进行影响流量的操作配置、网络流量异常进行问题排查等,可以通过开启接口卡的Bypass功能,流量可以绕过设备,使得设备两端的上下游设备实现直接对接,确保业务不中断;当环境恢复后,关闭接口卡的Bypass功能,让流量进行通过Device进行转发。设备安装Bypass光接口卡及连接线缆,如图5-3所示。
光Bypass接口卡提供4个固定的以太网光口,不支持更换光模块,非Bypass状态下,NETA和A接口可视为一组,NETB和B接口可视为一组,流量可从NETA或NETB接口进入,通过接口A或接口B转发给设备处理,再通过NETB或NETA接口转出。Bypass状态下,NETA和NETB接口直接组成Bypass接口对,流量不再经过设备,直接转发。
图5-2 接口模块正视图
|
1: 以太网光口NETA(可用于连接上游或下游设备) |
2: 以太网光口A |
|
3: 以太网光口B |
4: 以太网光口NETB(用于连接上游或下游设备) |
|
5: 松不脱螺钉 |
6: CTRL(可用于切换BYPASS状态) |
|
7: BYPASS指示灯 |
8: 扳手 |
本举例中,NETA接口用来连接外网设备,NETA与接口A,NETB与接口B之间无需额外连接光纤,使用光纤从Bypass光接口卡的A和B接口分别连接设备前面板的以太网光口的光模块,再通过NETB接口用来连接内网设备,即可完成设备与接口模块的连线。
本举例是在F1000-AI-75的F8890版本上进行配置和验证的。
BYPASS光接口模块型号为NS-MIM-GP4PFCA。
· 仅在二层模式下,Bypass光接口模块才支持Bypass功能。
· BYPASS光接口模块的对端设备接口只支持千兆/万兆且光波长为850/1310的LC类型多模光模块。
· BYPASS光接口模块不支持热插拔。
· 设备不支持检测接口up/down的状态,即设备链路down时,流量无法自行切换到BYPASS卡。
· 设备无法显示BYPASS光接口模块的BYPASS状态。可通过BYPASS光接口模块指示灯状态进行判断:
¡ 长灭,设备已下电,接口模块处于BYPASS状态。
¡ 长亮,设备已上电,接口模块处于BYPASS状态。
¡ 以0.5Hz绿灯闪烁,接口模块处于非BYPASS状态。
· 单BYPASS光接口模块仅可保护一对物理接口链路。
· RBM双主环境中,设备使用光BYPASS卡时,需要保证环境中的流量对称,即从源到目的数据流量和从目的返回源的数据流量遵循相同的路径,当设备重启或断电时,流量直接通过BYPASS卡转发,保证业务不中断,且此时不会进行会话备份。
图5-4 RBM透明双主直路组网图
· 当Bypass光接口模块正常运行或使用CTRL按钮切换为非Bypass状态时,接口模块可当做正常接口卡使用,流量从以太网光口NETA或NETB进入,通过以太网光口A或B进入设备,进行正常数据处理。
· 当设备下电或使用CTRL按钮切换为Bypass状态时,光Bypass接口卡无需软件配置,以太网光口NETA和NETB直接形成Bypass接口对,流量可以通过NETA和NETB接口绕过设备,使得设备两端的上下游设备实现直接对接,确保业务不中断。
如图5-5所示,Device作为安全设备保护企业内网用户免受来自Internet的攻击。当Device需要进行升级重启、或需要进行影响流量的操作配置、网络流量异常进行问题排查等,通过关闭设备,电Bypass接口卡的Bypass功能可自动开启,流量可以绕过设备,使得设备两端的上下游设备实现直接对接,确保业务不中断;当问题排查后,开启设备直至正常启动,接口卡的Bypass功能自动关闭,流量通过Device进行转发。设备安装Bypass电接口卡,如图5-7所示。
一个BYPASS电接口模块最多可保护4对物理接口链路。接口编号0,1可组成BYPASS接口对,接口编号2,3可组成BYPASS接口对,接口编号4,5可组成BYPASS接口对,接口编号6,7可组成BYPASS接口对。
图5-6 接口模块正视图
|
1: 松不脱螺钉 |
2: 1000BASE-T以太网电口 |
|
3: 1000BASE-T以太网电口指示灯 |
|
本举例中,当设备正常启动时,接口对处于非Bypass状态,1接口可以用来连接外网设备,0接口可以用来连接内网设备,然后将接口模块插入设备,流量即可从1接口进入,转发到设备进行处理,通过2接口转发到内网设备。当设备断电或者处于上电系统启动过程中,接口对处于Bypass状态,0和1接口直接组成Bypass接口对,外网流量通过Bypass接口对,不再经过设备,直接转发。
本举例是在F5000-CN-G85的E8190版本上进行配置和验证的。
BYPASS电接口模块型号为NS-NIM-GT8B。
· 仅在二层模式下,Bypass电接口才支持Bypass功能。
· Bypass电接口模块不支持热插拔。
· 设备不支持检测接口up/down的状态。
· 设备无法显示Bypass电接口模块的Bypass状态。
BYPASS电接口模块提供4对BYPASS接口对,当设备正常运行时,接口模块处于非BYPASS模式,接口模块可当做正常接口卡使用,流量可正常通过安全设备进行处理。
当设备下电和上电系统正在启动过程中,设备处于BYPASS状态,此时流量经过BYPASS接口对直接转发流量。
如图6-1所示,Device作为安全设备保护企业内网用户免受来自Internet的攻击。但由于Device的原因企业网络流量出现异常,如流量不通、流量卡顿等,需要进行问题排查,可以先通过手动执行内部Bypass功能让流量虽然经过安全设备,但不进行安全业务处理。安全设备会根据配置的转发模式,选择对应的接口将用户流量直接转发或者丢弃。
本举例是在T1000-AI-90的R8860版本上进行配置和验证的。
· 仅支持添加二层物理接口以及二层聚合接口到转发模式的接口对。
· 本功能的支持情况与设备型号有关,请以设备实际情况为准。
# 选择“网络 > 接口 > 接口对 > 接口对”,进入接口对配置页面。
# 单击<新建>按钮,进入新建接口对配置页面。配置如下:
· 工作模式:转发
· Bypass功能:开启
· Bypass模式:内部
· 成员:向接口一中添加GE1/0/2;接口二中添加GE1/0/3
图6-3 接口对配置图
# HostA和HostB之间的流量直接通过设备转发,但不进行安全业务处理。
图6-4 内部Bypass
#
bridge 1 forward
bypass enable
add interface GigabitEthernet1/0/2
add interface GigabitEthernet1/0/3
#
如图7-1所示,正常情况下,HostA和HostB之间的流量通过Device进行处理。管理员开启Bypass功能,HostA和HostB之间的流量通过Device后,不进行深度安全监测处理,当Device系统CPU使用率过高等情况,可通过开启Bypass功能来保证设备的正常运行。
本举例是在T1000-AI-90的R8860版本上进行配置和验证的。
· 开启Bypass服务将关闭应用层检测引擎,系统将不会对接收到的报文进行DPI深度安全处理。使用此功能前,请确保设备不需要进行DPI深度安全处理。
· 本功能的支持情况与设备型号有关,请以设备实际情况为准。
# 选择“对象 > 安全配置文件 > 高级配置”,进入高级配置页面。
# 单击勾选开启,点击确定,完成Bypass的配置。
图7-2 开启DPI-Bypass配置图
# HostA和HostB之间的流量通过Device进行处理。管理员开启Bypass功能,HostA和HostB之间的流量通过Device后,不进行深度安全监测处理,当Device系统CPU使用率过高等情况,可通过开启Bypass功能来保证设备的正常运行。
图7-3 开启DPI-Bypass
#
Inspect bypass
#
支持
