一、组网需求

针对一些改造项目，客户不想更换现有的网络拓扑，希望设备能支持桥接模式；以满足客户不改变现有的网络拓扑的情况下 可以实现 流控/审计/认证  等需求；

二、组网拓扑

三、功能简介

1、系统模式

网关设备有两种工作模式：网关模式和网桥模式

网关模式是把设备当作网络出口，支持NAT和路由选路下报文转发的部署方式。

网桥模式是把设备作为桥接，串接在内网核心交换机和外网网关出口之间的部署方式。

2、网桥模式下的工作模式

网桥转发：可以对转发报文进行流量识别，流量阻断，流量控制，流量审计。

透明转发：可以对转发报文进行流量识别，流量审计，但不做流量控制。

软件ByPass：转发报文只进行接口报文收发统计后就直接转发，不走业务。

单臂模式：即旁路模式，可以对转发报文进行流量识别、审计等操作，但是只接收报文，不转发。

使用场景：如下图所示，内网PC接入核心交换机，然后通过网关A连接外网；

设备B配置为网桥单臂模式，作为旁路；

将设备A的流量镜像到设备B，设备B只负责接收，对流量进行分类、识别、分析，不会转发出来，可以随时从原有网络安装或撤除。

四、配置步骤

1、登录设备WEB界面-》网络-》接口配置-》接入模式选择：

2、切换模式，保存配置后，会弹出窗口提示，如下午所示：

3、设备工作在桥模式时，可以通过管理口来管理设备

登录设备WEB界面-》网络-》接口配置-》接口基本配置-》管理口配置：

4、网桥转发：

登录设备WEB界面-》网络-》接口配置-》接口基本配置-》网桥模式下的接口配置：

工作模式：网桥转发/透明转发/软件bypass/单臂模式

内口线路：用于连接内网的网络接口，具备lan属性

外口线路：用于连接外网出口的网络接口，具备wan属性

VLAN的ID：指的是处于这种VLAN下的端口，它收发的不带vlan tag的报文，都会自动加上一个缺省的vlan tag，就是这个VLAN的VlanID。

注：这个vlan id与交换机native vlan概念是一样的，指在这个桥上收发的UNTAG报文，都被认为是属于这个VLAN的。

在实际环境中，这个vlan id应该和EG相连的交换机的native vlan id一致。

桥转发过程中不会更改报文信息，配置该vlan id，主要是匹配vlan 对象的时候用，而vlan对象目前就流控用到。

假设这里配置的vlan id为3，而vlan 3对象关联流控策略1，那么，该桥收到的UNTAG报文，将会匹配流控策略1。

网桥模式下，只有“网桥转发”这个工作模式会使用到流控，因此，目前就“网桥转发”工作模式下配置vlan id有意义。

 Vlan对象配置：

流控策略关联vlan对象：

5、配置桥模式BVI

登录设备WEB界面-》网络-》接口配置-》接口基本配置-》网桥模式下的接口配置-》展开高级配置：

一个桥组对应一个BVI口，桥组BVI口配置正确的ip地址和网关，设备可通过BVI口进行三层转发

注意事项：桥组工作在软件bypass模式时，不支持BVI口三层转发。因为软件bypass不走业务，不支持三层选路。

 

5、单臂模式（旁路模式）

单臂模式下，也需要配置一个内网口和一个外网口，实际场景只用到一个接口，接内网口或外网口都可以；

配置内网网段：因为单臂模式只用到一个接口，发送和接收的报文都从一个口进来，必须配置内网网段，才能识别是内网报文，还是外网报文。缺省时没有指定任何内网网段，所有报文属于外网报文。

 

五、注意事项

1、单臂模式与透明转发模式区别

·    单臂模式下报文的处理跟透明转发模式差不多，所有业务都可以收到报文，但只审计，不匹配阻断、限速策略；

·    与透明转发模式的区别是，单臂模式只接收报文，所有业务处理完成后，会将报文丢弃；

·    单臂模式与其他三种工作模式最大的区别是，只用到桥的一个接口，所有报文都从一个接口进来，因此需要用户配置内网网段，以便区分内、外网报文。源ip在内网网段范围内的，就是内网报文，否则为外网报文。

2、关于BVI口

·    一对一桥接只能进行二层转发，如果要三层转发，需要配置BVI口；

·    BVI就是桥组虚接口，可以配置ip和路由，进行三层转发；

·    一个BVI口对应一个桥组，如桥组0对应BVI 0口，桥组1对应BVI 1口；

3、桥组工作在软件bypass模式时，不支持BVI三层转发

报文要走BVI口进行三层转发，首先要支持选路功能，当桥组工作在软件bypass模式时，报文经过快转，直接从桥的另一个接口透传出去，不走业务，即此模式下不支持选路功能，因此该场景下无法通过BVI进行三层转发。

4、桥模式转发如果对端需要带vlan tag的场景下，BVI接口无法通信

场景：内网---交换机----EG桥----网关子接口---外网

该场景下，网关子接口要求报文带vlan tag；但网桥BVI口不支持子接口，不会去封装vlan tag，BVI口无法通信

该场景可以通过部署解决的方案来实现，如果桥连的是网关子接口，在网关对应的主接口上配置个ip，eg的BVI实际上是和网关的主接口通信。

 

六、问题诊断

桥模式下应用识别、审计信息不准确，或者源ip审计到外网ip

·    检查桥的内、外网口是否接反了

·   如果是单臂模式，检查是否配置了正确的内网网段