透明模式
一、 功能概述
透明模式是设备在二层转发架构下运行的一种工作模式。在该模式下,不改变数据包的源、目的 IP 地址信息,而是以二层桥接的方式在网络中转发流量,实现数据透明传输。
设备在透明模式下对上层网络拓扑无感知,可在不影响现有网络结构的情况下,实现流量监控、策略控制、安全检测等功能。
二、 支持的设备型号
1. 支持硬件旁路的设备
- NE206BX
- NE600MZ
2. 不支持硬件旁路的设备
- 除NE206BX外的其它NE206
- 除NE600MZ外的其它NE600
- NE800
- NE900
三、 部署场景
1. 场景1,透明模式设备部署在防火墙与光猫之间
2. 场景2,透明模式设备部署在交换机与防火墙之间
四、 配置说明
该功能可通过配置向导进行配置,每一个配置项对应的位置在配置下方有说明。
1. 端口定义
『租户』→『配置』→『站点』→『编辑站点』→『端口定义』
添加虚线路前,需要先在端口定义处,定义虚线路成员端口的角色WAN LAN。
注意事项
- NE206BX设备,虚线路已预配置,无需手动添加。
- NE600MZ,建议选择带旁路功能的扩展端口。
2. 配置向导
『租户』→『配置』→『站点』→『编辑站点』→『配置向导』
3. 添加虚线路
对应配置位置:
『租户』→『配置』→『站点』→『编辑站点』→『端口定义』→『添加虚线路』
添加完成后,可在 『租户』→『监控』→『站点』→『端口』→『虚线路』查看虚线路的端口信息。
配置说明
- 配置虚线路成员接口前,需先在端口定义处完成接口角色定义:
- WAN侧端口:仅可选择角色为 WAN 的接口。
- LAN侧端口:仅可选择角色为 LAN 的接口。
注意事项
- 当前仅支持添加一个虚线路。
- 虚线路成员接口不支持VLAN子接口和聚合口。
- 使用老模板的站点不支持透明模式,不能创建虚线路。
4. WAN配置
对应配置位置:
『租户』→『配置』→『站点』→『全局配置』→『WAN』
配置说明
- WAN支持DHCP、静态IP、模拟主机(手动)、模拟主机(自动)四种连接类型。
- 模拟主机(手动):模拟指定 LAN 侧主机地址ip,无需单独分配ip地址。
- 模拟主机(自动):根据流量自动选择和模拟 LAN 侧主机ip,无需单独分配ip地址。
- 若环境中没有主机流量,会导致学习不到主机ip。
5. 开启透明模式
对应配置位置:
『租户』→『配置』→『站点』→『全局配置』→『开启透明模式』
注意事项
- 不支持单臂。
- 透明模式不支持HA。
- 只支持对一个VRF开启透明模式。
- 开启透明模式后,不支持IPV6、SNMP、LAN侧DHCP、LAN侧OSPF、LAN侧BGP、DNAT、GRE隧道。
6. LAN配置
对应配置位置:
『租户』→『配置』→『站点』→『vrf配置』→『LAN』
配置说明
LAN配置-智能邻居学习
- 系统会学习IPv4流量,获取邻居地址映射,不需要配置LAN IP。
- 该模式下,系统会自动生成并下发一些默认策略,用于辅助实现流量转发。
LAN配置-静态IP
- 通过常规ARP来解析LAN侧的主机地址。
- 当LAN IP配置为WAN网关IP时,需要勾选“该IP是网关IP”。
- 当LAN IP为单独分配的IP地址时,无需勾选“该IP是网关IP”。
- 该模式下,系统会自动生成并下发一些默认策略,用于辅助实现流量转发。
注意事项
- 透明模式只支持配置一个LAN。
- 透明模式LAN端口只支持配置为wt1口。
- 当LAN配置为智能邻居学习时,若需要发布LAN网段路由到远端,需要手动添加一条路由,下一跳:接口直连LAN。
- 当LAN配置为智能邻居学习或单独分配的静态IP地址时,若主机需要与网关通信,需要手动添加一条到WAN网关的路由,下一跳指向:WAN。
五、 设备管理界面
『配置』→『物理口』→『新建虚线路』
『配置』→『WAN』→『新建WAN』
注意事项
- WAN端口需要选择为wt1。
- 当连接类型选择为模拟Host地址(自动),若环境中没有主机流量,设备将无法连接到控制器。
六、 使用限制
| WAN 连接类型 | LAN - 智能邻居学习 | LAN - 静态 IP |
|---|---|---|
| DHCP | ✅ | ✅ |
| 静态 IP | ❌ | ✅ |
| 模拟主机地址(手动) | ❌ | ✅ |
| 模拟主机地址(自动) | ✅ | ❌ |
- 透明模式不支持转发ttl<3的数据包,例如:OSPF和eBGP数据包。
- Hub-Spoke组网中透明模式站点不支持作为Hub站点。
七、 场景举例
场景1:透明模式加多vrf分流
1. 背景
某公司希望通过在出口防火墙与光猫之间部署 CPE 设备,实现海外访问流量的智能加速分流,同时保持本地业务流量走原有路径,以提升跨境访问性能并尽量减少对现有网络的影响。
2. 实现
2.1 透明模式配置
- 在端口定义中先配置好,虚线路所使用的端口,如:GE1,WAN;GE2,LAN
- 创建虚线路,LAN侧端口选择GE2,WAN侧端口选择GE1
- 配置WAN,连接类型选择DHCP
- 选择default VRF开启透明模式
- LAN侧配置启用智能邻居学习
- 检查配置,确认无误后点击提交
2.2 加速配置
在Nova网关-VRF1的Nova网关高级配置中,配置加速网关,在网关中配置并发布0.0.0.0/1,128.0.0.0/1两条静态路由,下一跳;WAN。
在站点-default VRF中,添加两条策略路由,源:any,目的:需要走加速的ip或域名,下一跳:vrf1;源:any,目的:10.5.0.1/32(WAN网关IP),下一跳;WAN。
在站点-default VRF中,配置域名代理解析策略,将海外域名代理到特定的海外DNS服务器上进行解析。
在站点-vrf1 中,添加ACL防火墙策略,源:其它vrf,目的:any,动作允许。
在站点-vrf1 中,添加snat策略,源:any,目的:远端站点,转换模式:动态nat,转换后的地址:100.127.1.53(设备管理IP)。
