Bypass介绍.doc

Bypass介绍1、 概述Bypass 翻译成中文在业界主要有两种称法，一种是旁路单元，另一种是旁路保护的意思。它的优点是：功能实现简单现有的工控机，都已在以太网电口上实现了硬件Bypass功能，异常情况下（设备掉电/重启/系统挂死等），设备会通过继电器开关自动将两个以太网端口实现物理直连，实现报文全通。它的缺点是：存在安全隐患对于UTM设备而言，防火墙是一个基础模块，而防火墙模块的功能特点就是除非用户配置，否则默认阻断。而Bypass模式下，最基础的防火墙模块实际上已经被绕过了，任何报文都能通过网关设备，这对于安全性要求较高的用户来说，是绝对不能接受的。：应用范围较窄只能在UTM设备工作在双端口透明模式下才能起作用，多端口透明桥模式、路由模式或混合模式下，即使启用了Bypass功能也无法确保业务正常连通。 从以上的讨论可以看出，ByPass模式更适合在专业的IPS产品上应用，因为专业IPS产品的部署方式已经严格限定为透明模式跨接在一条或多条链路上，每一路输入严格对应到一路输出。同时，部分刚刚进入UTM领域的厂商，在其UTM产品没有完全稳定之前，也经常采用Bypass功能，来避免设备不稳定对用户造成的影响，同时降低自身的售后服务压力。2、 分类按其实现方式可以分为硬件Bypass和软件Bypass；按其应用模式分为内置Bypass和外置Bypass。硬件Bypass主要通过跳线来选择开启，软件Bypass主要通过WatchDog或GPIO来控制实现。Bypass测试属于可靠性测试范畴。3、Bypass实现的原理分析以研华的FWA-3140系列产品为研究对象在硬件层面上，要实现Bypass，主要使用的就是继电器。这些继电器主要连接两个Bypass网口的各个网口信号线上，下图以其中一根信号线来说明继电器在其中的工作方式。以电源触发为例，当断电的情况下，继电器内的开关将会跳拨到1的状态，即将LAN 1 的RJ45接口上的Rx直接和LAN2 的RJ45 Tx 导通，而当设备上电以后，开关就会导通到2上，这样如果要使LAN1和LAN2 上的网络间通讯，就需要通过这台设备上的应用程序来实现了。 软件层面上实际就是之前在Bypass的分类中谈到了GPIO和Watchdog两种方式来控制、触发Bypass，实际上这两种方式都是对GPIO作操作，然后由GPIO来控制硬件上的继电器作相应的跳转。具体一点，就是相应的GPIO如果被置成高电平，那么继电器就相应的跳转到位置1，相反如果GPIO杯置成了低电平，则继电器就跳转到位置2。以研华FWA-3140为例，下图说明了FWA-3140的GPIO所控制的方式。以上图为例，如果对GPIO27 的Bit3 写入“0”或“1”，就可以对LAN 1/2 所组成的Bypass进行开关的控制，同理如果操作对象为GPIO 28 ，则可以实现对LAN3/4 Bypass的控制。在DOS下可以用如下的Debug程序来才测试Bypass的控制方法和状态。a. LAN 1/2 BypassA:debug -o 48f 13b. LAN 3/4 BypassA:debug -o 48f 0bc. LAN 1/2&3/4 BypassA:debug -o 48f 03有了上面的实例，就可以完全实现由软件来控制Bypass的状态了。另外对于Watchdog Bypass，实际上是在上面的GPIO控制的基础上，增加Watchdog控制Bypass。首先系统激活Watchdog功能，传统上，当Watchdog生效后，系统会Reset ，但如果你使用了Watchdog Bypass功能，则在Watchdog生效后，系统不会Reset，而是将相对应的网口Bypass打开，使设备呈现为Bypass状态。实际是这种Bypass，也是通过GPIO来控制Bypass的，只不过这种情况下，向GPIO写入低电平的工作由Watchdog来执行，不需要另外编程来写GPIO。值得注意的事，如果你使用了Watchdog Bypass，则Watchdog将不能再实现让系统Reset了。以研华FWA-3140为例，FWA-3140在主板上，会有一个3PIN的跳线，如果跳成1-2则Watchdog实现传统的Reset动作，如果将跳线设定为2-3，那么就会选择到Watchdog Bypass功能，这种情况下如果Watchdog生效后，系统就会打开Bypass功能。 应用层流控设备，为了达到控制效果，主要以桥接(inline)方式部署在网络出口，由此带来了系统的单点故障，为了保证高可用性，解决方案就是网卡的Lan Bypass。当设备故障时，自动接通网络原有链路，保证网络正常工作。Lan Bypass是很多网络设备厂商近几年特别关注、必备的基本功能；早期有些厂商自己设计制作了板卡电路，用于实现硬件的Bypass功能，随着网络安全平台供应商对硬件系统的完善，在工业级主板中，集成了Bypass功能，为设备制造商带来了方便。目前，稍加注意，就能选择到板载Bypass功能的主板。要做到真正实用的Bypass，在购买主板或整机前，需要仔细选择与确认！所有板载Bypass的主板，基本能实现断电Bypass和用户程序控制Bypass的开和关，但是仅满足这两点还不够。板载Bypass功能的同时，主板往往带有Watchdog功能，Wtachdog初始设计的基本用途是控制系统重启，可以在在BIOS中设定，也可以通过监护程序控制，监护程序执行的是喂狗动作，如在一个时间周期内，不断给定时器刷新时间，Watchdog就不发出重启指令，如果系统超时，例如系统宕机时，Watchdog不能正常工作，则发出系统重启指令。系统重启不是我们所需要的，有可能重启后再次重启，造成循环的短时间重复断网，这是运营商不允许的。由于Bypass与Watchdog初始设计时，这两个功能是独立的，即不能由Watchdog控制Bypass，所以Bypass的功能不具备实用性。目前有些厂家的主板已经做了改进，即通过主板上的跳线，决定Watchdog控制系统重启还是控制Bypass，大家在采购时，确认一下：Watchdog能否控制Bypass，即Watchdog与Bypass能实现联动，如果支持，则能满足系统宕机状态的Bypass功能，满足我们的要求。由于Bypass、Watchdog的控制代码与硬件底层相关，所以程序上略有差别，不能通用。Bypass、Watchdog的控制代码硬件供应商都提供免费示例代码，与我们相关的有两种代码：一种是DOS环境的Debug指令代码；一种是C语言代码，拿来之后，需要做一些转换工作，就可以在FreeBSD下使用。熟悉C语言开发的工程师或设备制造厂商，完全可以根据硬件厂家提供的代码移植到FreeBSD下使用。板载的Bypass主要是电口，光口的Bypass解决方案，需要选择支持Bypass的双光口网卡或其他的第三方解决方案。2、实例本例以研华FWA-3140介绍实际使用流程，并提供针对该机型的Bypass、Watchdog控制程序，免费下载使用，如果选择此硬件，完全可以实际使用。1) FWA-3140外形说明：该硬件平台为专业级产品，机箱无显示器、键盘接口，安装调试时打开机箱通过转换电缆接显示器、键盘；机箱面板上有专门的console口，使用的是com1；IDE0是小口电缆接口，IDE1是标准的IDE接口，Dom盘或硬盘接在IDE1上，如果没有能接在IDE0上小接口的笔记本光驱，使用dom盘的话，无法在此机器上做安装，需要在其他机器上把dom盘做好，dom盘的设备名称为ad2。2) 配置实例CPU：P4 2.4G*1内存：512M (256M*2)DOM盘：PQI 128M*1可以选择带液晶面板或不带液晶面板机箱；采购时请特别说明需要最新的支持Watchdog与Bypass联动的新机型(2007年上半年前的老机型，不支持Watchdog与Bypass联动)。3) Bypass控制流程图与跳线说明：该主板有4个百兆接口，支持两路Bypass，Lan1、Lan2组成一组，组号为0，Lan3、Lan4组成一组，组号为1，使用时需要主板跳线与BIOS设定相结合。由于我们使用的是程序控制，所以要选择GPIO控制选项。主板跳线：J4对应0组，J6对应1组，J7选择Watchdog控制系统重启还是控制Bypass(主板网卡一侧为下，控制Bypass的跳线为上面两针短接)。J4、J6的跳线见上图。如果选择Lan3、Lan4做网桥，在BIOS中选择Lan3/Lan4 Bypass by GPIO Enable。3、使用与测试1) 安装好FreeBSD系统与Panabit，如果采用电子盘，请参考本站制作FreeBSD精简系统，如果是硬盘则参考FreeBSD图解安装，安装Panabit的方法，无论电子盘和硬件都相同，参考Panabit安装指南。2) 下载本地解压并上传Bypass与Watchdog程序至Panabit缺省安装目录，如：/usr/panabit/bin/，在/etc/rc.local中加入启动脚本，建议adt_bpctrl加在启动Panabit之前、adt_monitor加在启动Panabit之后。如：/usr/panabit/bin/adt_bpctrl -d 1/usr/panabit/bin/ipectrl start/usr/panabit/bin/adt_monitor &(注释：第1行，关闭第1组即Lan3&Lan4的Bypass Enable状态，Lan3&Lan4在BIOS已经设置为Enable；如果是用0组，Lan1&Lan2，则 -d 0。注意BIOS中是一组打开一组关闭，此处要与BIOS中对应。第2行，启动Panabit 进程，第3行，后台运行Watchdog监控。)2008.03更新：注：本文档初始用于Panabit 2007，用于Panabit 2008，需要下载for FreeBSD 6.2版本的，其他使用方法一样。(Bypass程序使用说明：adt_bpctrl：命令行工具，用来打开、关闭bypass功能以及查询bypass状态。用法: adt_bpctrl -e group_id | -d group_id | -s 其中:- group_id为0或1- -e: enable bypass- -d: disable bypass- -s: 显示bypass状态adt_monitor：直接运行，定期喂狗的后台程序)3) 测试验证检查主板跳线是否正确，检查BIOS中是否把Bypass对应的选项打开为Enable状态；准备好验证Bypass的测试环境，如用两台笔记本电脑，分别用交叉线与启动Bypass的网桥相连，使用ping命令连续检验。a、在设备未通电前，两台笔记本电脑应该互相ping通；b、接通电源，系统自检，此时Bypass的继电器有动作，大约丢2个包后ping继续保持连通，直到系统启动完毕；c、系统启动后，当执行到/etc/rc.local中关闭Bypass命令时，网卡恢复正常工作状态，如果已经启动了Panabit并正确配置了Panabit网桥，则被Panabit的网桥接管，网络继续ping通；d、测试宕机时Bypass是否起作用？简