dz804355207的博客

在封装GRE隧道时，会直接将原始数据的二层直接干掉，使用本地公网接口的二层MAC地址进行发送，当对端进行解封装后，就直接展现了三层数据(类似P2P链路)无关乎二层通讯，因此，通过GRE隧道，即使Tunnel接口的IP地址与对端Tunnel接口的IP地址不在相同网段，也是可以通讯的，也可以建立OSPF邻居和互访以及学习路由；因为，在ping对端设备时，ARP会发送广播FFFF帧，对端收到后判断不是找自己的，则不会做出响应，无法通讯；提供了一种协议的报文封装在另一种协议报文的机制，是一种隧道封装技术；

两台FW之间通过一条独立的链路连接(可以跨交换机、路由器或者直连)传递双端FW的状态、配置等信息，不传递业务报文，称之为心跳线，心跳线两端端口被称为心跳端口。对象： 包括邮件地址组、签名、安全配置文件（反病毒、入侵防御系统、URL过滤、文件过滤、内容过滤、应用行为控制、邮件过滤等）会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表。策略： 包括安全策略、NAT策略、带宽管理、认证策略、攻击防范、黑名单、ASPF等。

防火墙NAT、NAT Server、映射、域间双向NAT