交换模式
高防服务器在交换模式下,防火墙所有接口都为交换接口。对于同-VLAN的数据包在转发时不作任何修正,包含IP和MAC地址,直接把包转发出去。
当网络已经建立并成熟运行,防火墙的接入是为了増强现有网络的防御能力时一般采用此接入模式。因为在这种模式下接入防火墙对网络通信造成的影响最少,能够最小限度修正网络节点的网络属性(网络拓扑结构、网络设备地址等)。
在交换模式下通信,防火墙应当能够很好地支撑VLAN,交换接口的工作模式可以支撑ACCESS和TRUNK。对于包的转发,防火墙将不转变通信数据包的包头信息,避免各个防火区域中利用设备物理地址的刷新。

在交换模式中,防火墙能够对协议进行深层次分析并且能够识別、处理各类封装格式,如802.1Q.QinQ、MPLS等,以便能够在复杂的网络环境下进行更机动的接入,处理更多的情况。下面介绍防火墙如何处理各类封装格式。
1.对802.1Q封装格式的处理
IEEE802.1Q俗称" Dot One Q”,是经过EEE认证的对数据帧附加LA辨认信息的协议。
IEEE802.1Q所附加的VLAN辨认信息位于数据帧中“发送源MAC地址”与“类别域( Type Field)"之间。具体内容为2字节的TPID和2字节的TPID,共计4字节。在数据帧中添加了4字节的内容,数据帧上的CRC是插入TPID、TCl后对包含它们在内的全部数据帧重新盘算后所得的值。当数据帧从防火墙接口转发出去时,TPID和TCl会被去除,这时还会进行一次CRC的重新盘算。TPID的值固定为0x8100防火墙通过TPID来断定数据帧内附加了基于IEEE802.1的VLAN信息。实际的 VLAN ID是由TCL中12位的VLAN标识断定。

2.对QinQ的处理
在EEE802.1Q定义的 /LAN Tag域中,只有12位用于表现 VLAN ID,所以设备最多可以支撑4094个VLAN。但在实际利用中,尤其是在城域网中,需要大批的VLAN来隔离用户,4094个VLAN远远不能满足需求,于是QinQ技巧应运而生。

防火墙开启端口的QinQ功效后,当该端口吸收到报文,无论报文是不是带有VLAN标签,防火墙都会为该报文打上本端口 ACCESS VLAN的VLAN标签,如果是 TRUNK口则会打上 NATVEVLANI的VLAN标签。这样,如果吸收到的是已经带有VLAN标签的报文,该报文就成为双标签的报文;如果吸收到的是不带VLAN标签的报文,该报文就成为带有端口默认VLAN标签的报文。
3.对MPLS报文的处理
MPLS(多协议标签交換)独立于第二层和第三层协议,供给了一种方法,将P地址映射为简略的具有固定长度的标签,用于不同的包转发和包交换技巧。

当防火墙工作在透明模式,开启MPLS穿适功效时,对通过防火墙的MPLS报文进行安全策略把持;关闭 MPLS穿适功效时,防火墙将直接转发MPLS报文。当防火墙工作在路由模式,直接丢弃报文。

TikTok千粉号购买平台：https://tiktokusername.com/