-
Bypass
介绍
1
、
概述
Bypass
翻译成中文在业界主要有两种称法,
一种是旁路单元,
另一种是旁路保护的意思。
它的优点是:
功能实现简单——现有
的工控机,都已在以太网电口上实现了硬件
Bypass
功能,
异常情况下(设备掉
电
/
重启
/
系统挂死等),设备会通过继电器开关自动将两个以太网端口实现物理
直连,实现报文全通。
它的缺点是:①:存在安全隐患——对于
UTM
设备而言,防火墙是一个基础模块,而防火墙模块的功
能
特点就是除非用户配置,否则默认阻断。而
Bypass
模式下
,最基础的防火墙模块实际上已经被绕过
了,任何报文都能通过网关设备,这对于安全性
要求较高的用户来说,是绝对不能接受的。②:应用
范围较窄——只能在
UTM
设备工作在双端口透明模式下才能起作用,多端口透明桥模式、路由模式
或
混合模式下,即使启用了
Bypass
功能也无法确保业务正常连通。
从以上
的讨论可以看出,
ByPass
模式更适合在专业的
IPS
产品上应用,因为专业
IPS
产品的部署方式
已经严格限定为透明模式跨接在一条或多条链路上,每一路输
入严格对应到一路输出。同时,部分刚
刚进入
UTM
领域的厂商,在其
UTM
产品没有完全稳定之前,
也经常采用
Bypass
功能,来避免设备不稳
定对用户造成的影响,同时降低自身的售后服务压力。
2
、
分类
按其实现方式可以分为硬件
p>
Bypass
和软件
Bypass
;
按其应用模式分为内置
Bypass
和
外置
Bypass
。
硬件
Bypass
主要通过跳线来选择
开启,
软件
Bypass
主要通过
p>
WatchDog
或
GPIO
来控制实现。
Bypass
测试属于可靠性测试范畴
。
3
、
By
pass
实现的原理分析
以研华的<
/p>
FWA-3140
系列产品为研究对象
在硬件层面上,要实现
Bypass
,主要使用的就是继电器。这些继电器主要连接两个
Bypass
网口的各个网口信号线上,下图以其中一根信号线来说明继
电器在其中的工作方
式。以电源触发为例,当断电的情况下,继电器内的开关将会跳拨到
1
的状态,即将
LAN
1
的
RJ45
接口上的
Rx
直接和
LAN2
的
RJ45
Tx
< br>导通,而当设备上电以后,开关就会导通
到
2
上,这样如果要使
LAN1
和
LAN2
上的网络间通讯,就需要通过这台设备上的应用程
序来实现了。
软件层
面上实际就是之前在
Bypass
的分类中谈到了
GPIO
和
Watchdog
两种方式来控
制、触发
Bypass
,实际上这两种方式都是对
GPIO
作操作,然后由
GPIO
来控制硬件上的
继电器作相应的跳转。具
体一点,就是相应的
GPIO
如果被置成高电平,那么继电器就
相
应的跳转到位置
1
,相反如果
GPIO
杯置成了低电平,则继电器就跳转到位置
2
。以研华
FWA-3140
为例
,下图说明了
FWA-3140
的
GP
IO
所控制的方式。
以上图为例,如果对
GPIO27
的
Bit3
写入“
< br>0
”或“
1
”,就可以对
LAN
1/2
所组成
的
Bypass
进行开关的控制,
同理如果操作对象为
GPIO
28
,
则可以实现对
LAN3/4
Bypass
的控制。在
DOS
下可以用如下的
Debug
程序来才测试
Bypass
的控制方法和状态。
a.
LAN 1/2 Bypass
A:>debug
-o 48f 13
b.
LAN 3/4 Bypass
A:>debug
-o 48f 0b
c.
LAN 1/2&3/4
Bypass
A:>debug
-o 48f 03
有了上面的实例,就可以完全实现
由软件来控制
Bypass
的状态了。
另外对于
Watchdog Bypass
,实际上是在上面的
GPIO
控制的基础上,增加
Watchdog
控制
Bypass
。
首先系统激活
Watchdog
功能,
传统上,
当
Watch
dog
生效后,
系统会
Reset
,
但如果你使用了
Watchdog
Bypass
功能,则在
Watchdog
生效后,系统不会
Reset
,而是
将相对应的网口
Bypass
打开,使设备呈现为
Bypass
状态。实际是这种
Bypass
p>
,也是通
过
GPIO
来控制
Bypass
的,只不过这种情况下,向
GPIO
写入低电平的工作由
Watchdog
p>
来执行,不需要另外编程来写
GPIO
。值
得注意的事,如果你使用了
Watchdog
Bypass<
/p>
,则
Watchdog
将不能再实现让系
统
Reset
了。
以研华
FWA-3140
为例,
FWA-3140
在主板上,
会
有一个
3
PIN
的跳线,
如果跳成
1-2
则
Watchdog
实现传统的
Reset
动作,
如果将跳线设定
< br>为
2-3
,那么就会选择到
Wa
tchdog Bypass
功能,这种情况下如果
Watch
dog
生效后,系
统就会打开
Bypa
ss
功能。
应用层流控设备,为了
达到控制效果,主要以桥接
(inline)
方式部署在网络出
口,由此带来了系统的单点故障,为了保证高可用性,解决方案就
是网卡的
Lan Bypass
。当设备故障时,自动接通网络原有链路,保证网络正
常工作。
Lan Bypass
是很
多网络设备厂商近几年特别关注、必备的基本功能;早期有些厂商自己设计制作了板卡电路,用于实现硬件的
p>
Bypass
功能,
随着网络安全平台供应
商对硬件系统的完善,在工业级主板中,集成了
Bypass
功
能,为设备制造商带来了方便。目前,稍加注意,就能选择
到板载
Bypass
功能的主板。
要做到
真正实用的
Bypass
,在购买主板或整机前,需要仔细选择
与确认!!所有板载
Bypass
的主板,基本能实现断电
p>
Bypass
和用户程序控
制
Bypass
的开和关,但是仅满足这两点还不够。板载
Bypass
功能的同时,主板往往带有
Watchdog
功能,
Wtachdog
初始设计的基
本用途
是控制系统重启,可以在在
BIOS
中设定,也可以通过监护程序控制,监护程序执行的是
喂狗
动作,如在一个时间周期内,不断给定时器刷
< br>新时间,
Watchdog
就不发出重启指令,如果系统
超时,例如系统宕机时,
Watchdog
不能正常工作,则发
出系统重启指令。系统重启不是我
们所需要的,有可能重启后再次重启,造成循环的短时
间重复断网,这是运营商不允许的。由于
Bypass
与
Watchdog
初始设计时,这两个功
能是
独立的,即不能由
Watchdog
控制
Bypass
,所以
Bypass
的
功能不具备实用性。目前有些厂家的主板已经做了改进,即通过主板上的跳
线,决定
p>
Watchdog
控制系统重启还是控制
B
ypass
,大家在采购时,确认一下:
Watchdog
p>
能否控制
Bypass
,即
Watchdog
与
Bypass
能实
现联动,如果支持,则能满足系统宕机状态的
Bypa
ss
功能,满足我们的要求。
由于<
/p>
Bypass
、
Watchdog
的控制代码与硬件底层相关,所以程序上略有差别,不能通用。
Byp
ass
、
Watchdog
的控制代码
硬件供应商都提供
免费示例代码,与我们相关的有两种代码:一种是
DOS
环境的
Debug
指令代码
;一种是
C
语言代码,拿来之后,需要做一些转换工作,就
p>
可以在
FreeBSD
下使用。熟悉
C
语言开发的工程师或设备制造厂商,完全可以根据硬件厂家提供的代
码移植到
FreeBSD
下使用。
<
/p>
板载的
Bypass
主要是电口,光口的
Bypass
解决方案,需要选择支持
Bypass
的双光口网卡或其他的第三方解决方案。
2
、实例
本
例以研华
FWA-3140
介绍实际使用流程,并提供针对该机
型的
Bypass
、
Watchdog
控制程序,免费下载使用,如果选择此硬件,完全可以
实际使用
。
1)
FWA-3140
外形
-
-
-
-
-
-
-
-
-
上一篇:网络常用英语
下一篇:华为BYPASS操作指导