Обработка трафика L2-интерфейсами

Интерфейс относится к уровню L2, если он входит в сетевой мост L2. Трафик, проходящий через L2-интерфейс, обрабатывается как трафик в рамках сетевого моста L2.

BVI-интерфейс входит в сетевой мост L2, но при этом является L3-интерфейсом.

Правила обработки трафика, поступающего на L2-интерфейсы

Пакет, поступивший на L2-интерфейс Kaspersky NGFW, обрабатывается одним из следующих способов:

• Если для сетевого моста выключен MAC learning или MAC-адреса отправителя нет в таблице MAC-адресов, полученный пакет копируется на все L2-интерфейсы, которые входит в этот сетевой мост, кроме входящего (англ. flooding).
• Если для сетевого моста включен MAC learning и MAC-адрес отправителя есть в таблице MAC-адресов, полученный пакет копируется на L2-интерфейс по соответствующему MAC-адресу.

При обработке трафика L2-интерфейсами есть следующие ограничения:

• не поддерживается параметр Native VLAN;
• отсутствует возможность передачи трафика из порта доступа в магистральный порт и наоборот;
• не поддерживается технология преобразования сетевых адресов (англ. network address translation, NAT).

Если трафик передается на L2-интерфейс через протоколы IPv6 и ARP или с использованием технологии Multicast, Kaspersky NGFW автоматически пропускает его без необходимости проверки функциями безопасности.

Назначение типа зоны безопасности трафика, проходящего через L2-интерфейсы

Для правильной работы функций безопасности Kaspersky NGFW (например, для правильной настройки правил фильтрации), необходимо понимать, какой тип зоны безопасности назначается для трафика, поступающего на устройство. В таблице ниже описаны правила назначения типа зоны безопасности трафика, если он проходит через несколько интерфейсов и хотя бы один из этих интерфейсов является L2-интерфейсом.

Правила назначения типа зоны безопасности

Интерфейсы, через которые проходит трафик	Тип зоны безопасности источника	Тип зоны безопасности назначения
L2-интерфейс 1 → L2-интерфейс 1 (в рамках одного L2-моста)	L2 (в соответствии с типом зоны безопасности L2-интерфейса 1)	L2 (в соответствии с типом зоны безопасности L2-интерфейса 2)
L2-интерфейс → BVI-интерфейс → L3-интерфейс	L3 (в соответствии с типом зоны безопасности BVI-интерфейса)	L3 (в соответствии с типом зоны безопасности исходящего L3-интерфейса)
L3-интерфейс → BVI-интерфейс → L2-интерфейс	L3 (в соответствии с типом зоны безопасности входящего L3-интерфейса)	L3 (в соответствии с типом зоны безопасности BVI-интерфейса)
L2-интерфейс 1 → BVI-интерфейс 1 → BVI-интерфейс 2 → L2-интерфейс 2	L3 (в соответствии с типом зоны безопасности BVI-интерфейса 1)	L3 (в соответствии с типом зоны безопасности BVI-интерфейса 2)

После того, как трафику назначена зона безопасности определенного типа, Kaspersky NGFW выполняет поиск правила фильтрации, в котором указана назначенная зона, и, если правило фильтрации найдено, применяет его к трафику.

В начало