Симптомы

Появились вопросы по байпасу портов и одновременно опасения устроить петлю в сети. Есть ли примеры применения данного функционала для лучшего понимания? Как узнать поддерживает ли ПАК режим bypass?

Решение

На интерфейсах некоторых ПАКов можно настроить режим bypass (узнать поддерживает ли ПАК режим bypass можно по ссылке - https://docs.usergate.com/apparatnye-platformy-274). 

Bypass настраивается вместе с мостом следующим образом:

Создайте мост "Интерфейсы" - "Добавить мост" - "Интерфейсы байпас-моста" - "Выбрать мост" (Выберите соответствующую пару в настройках). На некоторых моделях можно управлять этим режимом (проверить/включить/выключить) через PMC.

Bypass срабатывает при наступлении нештатной ситуации. В случае сбоя в работе NGFW трафик пройдет прозрачно, в обход цепочек обработки ПО.

Как избежать петли из-за Bypass?

1. Для того, чтобы после удаления моста не было петли, надо сначала удалить bypass, сохранить настройки моста, а затем удалить сам мост.
2. Через удаленного помощника, мы можем проверить статус bypass на портах и выключить при необходимости.

Причина

Петля в сети может возникнуть из-за удаления моста с настроенным режимом bypass. В таком случае, интерфейсы, которые были привязаны к bypass (удаленного моста) на аппаратном уровне будут входить в bypass. Если в дальнейшем использовать эти интерфейсы, и внезапно устройство выйдет из строя, то на этих интерфейсах включится режим bypass и может возникнуть петля.

*С150 можно настроить режим bypass на любом интерфейсе.