2.4 透明模式的工作原理和部署

透明模式是防火墙的部署模式之一，相比于路由模式的部署，工作在透明模式的防火墙在网络拓扑结构中会以“透明”的形式存在，不会作为其他设备路由的下一跳，因此不需要修改网络中IP地址的设计，其他设备不会感知到它的存在。但它仍然可以监控会话的交互，并通过安全策略控制流量的通行。

透明模式用到的主要技术就是VLAN，VLAN主要用于划分广播域，主要的工作就是终结或添加数据报文头部的VLAN标签，并查找MAC地址表进行转发。VLAN帧如图2-13所示。IEEE 802.1Q标准对Ethernet帧格式进行了修改，在源MAC地址字段和协议类型字段之间加入了4字节的802.1Q Tag。

在防火墙中，通过将VLAN下的物理接口配置为不同的模式（Access和Trunk）来实现与其他设备所在的VLAN进行通信，VLAN标准IEEE 802.1Q中采用Untagged和Tagged两个术语来描述报文的VLAN属性，在标准中并没有Access和Trunk的定义，但是在交换机的配置中大多使用Access和Trunk来表示端口的工作模式，防火墙中也沿用了这个称呼。

根据链路中需要承载的VLAN数目的不同，以太网链路分为以下几种。

（1）接入链路

接入链路只可以承载一个VLAN的数据帧，用于连接设备和用户终端（如用户主机、服务器等）。通常情况下，用户终端并不需要知道自己属于哪个VLAN，也不能识别带有Tag的帧，所以在接入链路上传输的帧都是Untagged帧。图2-14所示为接入链路示意图。

（2）干道链路

干道链路可以承载多个不同VLAN的数据帧，用于设备间互联。为了保证其他网络设备都能够正确识别数据帧中的VLAN信息，在干道链路上传输的数据帧必须都标上Tag。图2-15所示为干道链路示意图。

根据以太网链路的不同和收发数据帧处理的不同，以太网接口可以分为以下几种。

（1）Access接口

Access接口一般用于与不能识别Tag的用户终端（如用户主机、服务器等）相连，或者在不需要区分不同的VLAN成员时使用。它只能收发Untagged帧，且只能为Untagged帧添加唯一VLAN的Tag。

（2）Trunk接口

Trunk接口一般用于连接交换机、路由器以及可同时收发Tagged帧和Untagged帧的终端。它可以允许多个VLAN的帧携带Tag通过，但只允许一个VLAN的帧从该类接口上发出时不携带Tag（即剥除Tag）。