外国服务器,香港服务器,美国服务器,高防服务器,服务器租用,服务器托管
首页 > 新闻资讯 > 极客学院
服务器的防火墙如何交换模式接入
2019-02-18 00:53:25 | 来源:极客网络 | 作者:liuchuang

交换模式
       高防服务器在交换模式下,防火墙所有接口都为交换接口。对于同-VLAN的数据包在转发时不作任何改动,包括IP和MAC地址,直接把包转发出去。
       当网络已经建立并成熟运行,防火墙的接入是为了増强现有网络的防御能力时一般采用此接入模式。因为在这种模式下接入防火墙对网络通信造成的影响最少,能够最小限度改动网络节点的网络属性(网络拓扑结构、网络设备地址等)。
       在交换模式下通信,防火墙应该能够很好地支持VLAN,交换接口的工作模式可以支持ACCESS和TRUNK。对于包的转发,防火墙将不改变通信数据包的包头信息,避免各个防火区域中应用设备物理地址的刷新。
交换模式接入.png

      在交换模式中,防火墙能够对协议进行深层次分析并且能够识別、处理各类封装格式,如802.1Q.QinQ、MPLS等,以便能够在复杂的网络环境下进行更灵活的接入,处理更多的情况。下面介绍防火墙如何处理各类封装格式。
1.对802.1Q封装格式的处理
       IEEE802.1Q俗称" Dot One Q”,是经过EEE认证的对数据帧附加LA识别信息的协议。
       IEEE802.1Q所附加的VLAN识别信息位于数据帧中“发送源MAC地址”与“类别域( Type Field)"之间。具体内容为2字节的TPID和2字节的TPID,共计4字节。在数据帧中添加了4字节的内容,数据帧上的CRC是插入TPID、TCl后对包括它们在内的整个数据帧重新计算后所得的值。当数据帧从防火墙接口转发出去时,TPID和TCl会被去除,这时还会进行一次CRC的重新计算。TPID的值固定为0x8100防火墙通过TPID来确定数据帧内附加了基于IEEE802.1的VLAN信息。实际的 VLAN ID是由TCL中12位的VLAN标识判断。
数据包标准格式与封装了802.1Q标签的包格式.png

2.对QinQ的处理
       在EEE802.1Q定义的 /LAN Tag域中,只有12位用于表示 VLAN ID,所以设备最多可以支持4094个VLAN。但在实际应用中,尤其是在城域网中,需要大量的VLAN来隔离用户,4094个VLAN远远不能满足需求,于是QinQ技术应运而生。
QinQ报文格式.png

       防火墙开启端口的QinQ功能后,当该端口接收到报文,无论报文是否带有VLAN标签,防火墙都会为该报文打上本端口 ACCESS VLAN的VLAN标签,如果是 TRUNK口则会打上 NATVEVLANI的VLAN标签。这样,如果接收到的是已经带有VLAN标签的报文,该报文就成为双标签的报文;如果接收到的是不带VLAN标签的报文,该报文就成为带有端口默认VLAN标签的报文。
3.对MPLS报文的处理
       MPLS(多协议标签交換)独立于第二层和第三层协议,提供了一种方式,将P地址映射为简单的具有固定长度的标签,用于不同的包转发和包交换技术。
MPLS报文格式.png

      当防火墙工作在透明模式,开启MPLS穿适功能时,对通过防火墙的MPLS报文进行安全策略控制;关闭 MPLS穿适功能时,防火墙将直接转发MPLS报文。当防火墙工作在路由模式,直接丢弃报文。

本文链接:http://www.gkidc.com/news/jkxy/635.html

所属栏目:极客学院

【本文由极客网络发布;内容来源于互联网或原创,转载联系作者并注明出处:投稿请发至邮箱 layton@zhi-yue.net 】

最新新闻

查看更多

相关新闻

查看更多

推荐优选服务器

国内外服务器租用、服务器托管,365天24小时极致服务体验~认准极客网络!
在线咨询
24H在线售后
11082052
24H服务热线
0769-88836624
IDC/ISP/IRCS/增值电信业务经营许可证号:粤B1-20190887
COPYRIGHT © 2010-2018 广东极客网络科技有限公司 版权所有.粤ICP备18157343号
极客网络提供:服务器租用,服务器托管,高防服务器,香港服务器,美国服务器,韩国服务器,日本服务器,台湾服务器,免备案服务器,bgp高防服务器,站群服务器,等外国服务器IDC服务;敬请放心选购!

在线
客服

客服
热线

0769-88836624
7*24小时服务热线

关注
微信

马上推出关注官方微信
顶部