接口对

特性简介

接口对是在数据链路层对流量进行安全监控的一种技术。目前这种技术主要应用在安全产品上，经过设备的二层网络流量会被引流到安全产品上，由安全产品过滤后再进行转发。

接口对支持以下几种工作模式：

• 反射模式：报文从同一接口收发。

• 黑洞模式：报文从一个接口接收，处理完后被丢弃。

• 转发模式：报文从一个接口接收，从另一个接口发送。

• 跨VLAN模式：在不同VLAN间进行报文转发。

隧道报文转发依据

缺省情况下，设备对隧道报文进行转发时，根据封装后的信息进行转发。配置隧道报文的转发模式，可以根据封装前的信息进行转发。

VLAN ID检查功能

在Inline转发时，开启此功能后，仅当报文的VLAN ID与会话表项中的VLAN ID匹配成功才放行此报文，否则丢弃。关闭此功能后，无需匹配VLAN ID，仅需报文与会话表项中的其他信息匹配成功就可以放行此报文。

Bypass功能

开启Bypass功能后，用户流量可以不经过安全业务或者安全设备处理，直接被处理（转发或丢弃）。

Bypass功能分为以下几种模式：

内部Bypass功能

用户流量经过安全设备，但不进行安全业务处理。安全设备会根据配置的转发模式，选择对应的接口将用户流量直接转发或者丢弃。

支持的接口对工作模式：反射、黑洞和转发。

外部Bypass功能

用户流量不经过安全设备，直接通过PFC（Power Free Connector，无源连接设备）设备转发。

本功能仅在接口对处于转发工作模式下支持。

外部Bypass功能分为外部静态和外部自动Bypass功能：

• 静态外部Bypass功能：用户流量直接通过PFC转发，不经过安全设备处理。

• 动态外部Bypass功能：在安全设备上将与PFC相连的两个接口加入接口对成员。安全设备通过检查这两个接口的状态，决定自动启用外部Bypass功能。当某一接口状态变为DOWN时，用户流量不经过安全设备，直接通过PFC转发。同时，安全设备会周期性检查成员的接口状态，如果检查到两个接口都处于UP状态，则自动关闭外部Bypass功能，恢复由安全设备处理用户流量。

vSystem相关说明

非缺省vSystem对于本特性的支持情况，请以页面的实际显示为准。

使用限制和注意事项

• 仅支持添加二层或者三层物理接口以及二层聚合接口到反射/黑洞/转发模式的接口对。

• 使用设备硬件Bypass子卡时，需要配置Bypass功能为内部模式。

• 外部Bypass功能的支持情况与设备型号有关，请以设备实际情况为准。

配置指南

配置准备

在配置本特性之前，需要完成以下任务：

• 配置接口IP地址。接口在“网络 > 接口与VRF > 接口”页面配置。

• 配置路由，保证路由可达。路由在“网络 > 路由”页面配置。

• 创建安全域。安全域在“网络 > 安全域”页面配置。

• 配置接口加入安全域。可在安全域页面添加接口，也可在接口页面选择接口所属的安全域。

• 配置安全策略，放行业务流量。安全策略在“策略 > 安全策略”页面配置。

配置反射模式的接口对

接口对是一种在数据链路层对流量进行安全监控的技术。新建之后，经过设备的二层网络流量会被引流到安全产品上，由安全产品过滤后再进行转发。通过不同的工作模式，接口对可以灵活处理流量。在反射模式下，报文在同一个接口上进行收发。由于流量不需要通过其他接口，所以数据处理速度较快。这种方式配置简单，适合新手快速配置。

1. 选择“网络 > 接口与VRF > 接口对 > 接口对”，进入“接口对”页面。

2. 单击<新建>按钮，进入“新建接口对”页面。

   图-1 新建反射模式的接口对示意图

   

3. 选择工作模式为反射模式，选择收发报文的接口，具体配置内容如下表所示：

   表-1 接口对配置参数表

   参数	说明
   反射模式	报文从同一接口收发
   Bypass功能	开启/关闭Bypass功能
   成员-接口一	报文收发接口一

4. 单击<确定>按钮，反射模式的接口对会在“接口对”页面中显示。

配置黑洞模式的接口对

在黑洞模式下，报文从一个接口接收并在经过处理后被丢弃。这种模式流量进入后不再被转发。通过配置黑洞模式，管理员可以有效地丢弃不可信来源的流量，保证网络的安全性。

1. 在“接口对”页面，单击<新建>按钮，进入“新建接口对”页面。

   图-2 新建黑洞模式的接口对示意图

   

2. 选择工作模式为黑洞模式，选择收发报文的接口，具体配置内容如下表所示：

   表-2 接口对配置参数表

   参数	说明
   黑洞模式	报文从一个接口接收，处理完后被丢弃
   Bypass功能	开启/关闭Bypass功能
   成员-接口一	报文收发接口一

3. 单击<确定>按钮，新建黑洞模式的接口对会在“接口对”页面中显示。

配置转发模式的接口对

在转发模式下，报文从一个接口接收，从另一个接口发送。这种配置方式比较灵活，可以适应更复杂的网络环境。

1. 在“接口对”页面，单击<新建>按钮，进入“新建接口对”页面。

   图-3 新建转发模式的接口对示意图

   

2. 选择工作模式为转发模式，选择收发报文的接口。具体配置内容如下表所示：

   表-3 接口对配置参数表

   参数	说明
   转发模式	报文从一个接口接收，从另一个接口发送
   Bypass功能	开启/关闭Bypass功能
   成员-接口一	报文收发接口一
   成员-接口二	报文收发接口二

3. 单击<确定>按钮，转发模式的接口对会在“接口对”页面中显示。

配置跨VLAN模式的接口对

在跨VLAN模式下，设备可以实现不同VLAN之间的路由和数据转发。跨VLAN模式与其他三种模式互斥，如果创建了跨vlan模式的接口对，则不能再创建其他模式的接口对。

1. 在“接口对”页面，单击<新建>按钮，进入“新建接口对”页面。

   图-4 新建跨VLAN模式的接口对示意图

   

2. 选择工作模式为跨VLAN模式，添加收发报文的VLAN。具体配置内容如下表所示：

   表-4 接口对配置参数表

   参数	说明
   跨VLAN模式	在不同VLAN间进行报文转发
   VLAN列表	指定一个VLAN编号，也可以指定VLAN编号范围, 不论VLAN是否被创建，都可以加入到跨VLAN模式

3. 单击<确定>按钮，跨VLAN模式的接口对会在“接口对”页面中显示。

配置高级设置

新建接口对后，通过高级设置可以选择不同的隧道报文转发依据和VLAN ID检查功能来应对不同的网络场景需求。

如在双机热备组网环境下，当主设备与备设备上报文入接口属于不同VLAN时，必须关闭VLAN ID检查功能，才能使从主设备上切换过来的流量或非对称的反向流量匹配备设备上的备份会话，实现安全业务功能的正常运行。

1. 选择“网络 > 接口与VRF > 接口对 > 高级设置”，进入“高级设置”页面。

   表-5 高级设置示意图

   

2. 配置高级设置参数，具体配置内容如下表所示：

   表-6 高级设置配置参数表

   参数	说明
   隧道报文转发依据	隧道报文转发依据，包括： 封装前报文：根据封装前原始报文信息进行转发 封装后报文：根据封装后的报文头信息进行转发
   VLAN ID检查功能	开启/关闭VLAN ID检查功能