ブリッジング / 一般設定


ローカルブリッジ
基本設定
その他
ブリッジできない制御パケット
設定・状態の確認
MACフィルター
フィルターの構成
フィルターの適用場所
フィルター処理の流れ
MACフィルターの作成
MACフィルターの適用
統計情報
ルーティングとPPPoE接続について
ブリッジインターフェース


本製品は、インターフェース間でEthernetフレームを中継するブリッジ(ソフトウェアブリッジ)として動作させることができます。ここでは、ブリッジ機能の設定方法について説明します。

ブリッジングが可能なインターフェース(ブリッジポートとして使用可能なインターフェース)は次のとおりです。
Note
同じソフトウェアブリッジに所属するインターフェースのMTU値が異なる場合は、それぞれのMTU値を合わせるようにしてください(mtuコマンド)。
Note
VLANインターフェースでブリッジ機能を使用している場合は、フォワーディングデータベース(MACアドレステーブル)の自動学習機能(mac address-table acquireコマンド)を無効化しないでください(無効化設定はサポート対象外です)。

ここでは、ソフトウェアブリッジの基本的な設定方法を説明します。
ソフトウェアブリッジのより具体的な使用例については、「設定例集」をご覧ください。

ローカルブリッジ

基本設定

下記のインターフェース間ですべてのプロトコルをブリッジします。
  1. ソフトウェアブリッジ「1」を作成します。これにはbridgeコマンドを使います。
    awplus(config)# bridge 1
    

  2. ソフトウェアブリッジ「1」にeth1を追加します。これにはインターフェースモードのbridge-groupコマンドを使います。
    awplus(config)# interface eth1
    awplus(config-if)# bridge-group 1
    awplus(config-if)# exit
    

  3. ソフトウェアブリッジ「1」にvlan1を追加します。
    awplus(config)# interface vlan1
    awplus(config-if)# bridge-group 1
    awplus(config-if)# exit
    

ローカルブリッジとしての設定は以上です。

その他

ブリッジできない制御パケット

以下の制御パケットはブリッジできません。
01-80-C2-00-00-00 Spanning Tree BPDU
01-80-C2-00-00-01 IEEE802.3x PAUSE
01-80-C2-00-00-02 IEEE802.3ad LACP
01-80-C2-00-00-03 IEEE802.1X EAPOL
01-80-C2-00-00-0E IEEE802.1AB LLDP

設定・状態の確認

■ 設定済みのソフトウェアブリッジと所属インターフェースはshow bridgeコマンドで確認できます。
awplus> show bridge

■ ソフトウェアブリッジのフォワーディングデータベースはshow bridge macaddrコマンドで確認できます。
awplus> show bridge macaddr

MACフィルター

MACフィルター(ブリッジフィルター)は、ソフトウェアブリッジを通過するEthernetフレームの内容にもとづき、フレームの転送可否を決定する機能です。
本機能は、MACフィルターを作成して、ソフトウェアブリッジまたは所属インターフェース(以下、ブリッジポート)に適用することで有効になります。

フィルターの構成

MACフィルターは次に示す2種類のルールのリストから構成されます。両方のリストで許可されたパケットだけが次の処理に進みます。
  1. プロトコルルールprotocolコマンドで作成)
    ブリッジ対象のプロトコルを絞り込むために使います。
    各プロトコルルールでは、次の(a)、または(a)と(b)の組み合わせで対象プロトコルを指定し、許可(ブリッジ対象にする)、拒否(ブリッジ対象にしない)を指示します。
    初期状態ではプロトコルルールは存在しておらず、すべてのプロトコル(すべてのフレーム)がブリッジ対象になっています。

  2. MACフィルタールールruleコマンドで作成)
    Ethernetヘッダーおよび任意位置のデータ、IP/IPv6ヘッダー、TCP/UDPヘッダーの内容によってフレームの転送可否を決定するために使います。
    参照可能な情報は次のとおりです。

フィルターの適用場所

MACフィルターは、各ソフトウェアブリッジにおいて、下記の4箇所で適用できます。
  1. ブリッジポートでの受信時(受信MACフィルター)
  2. ソフトウェアブリッジへの入力時(受信MACフィルター)
  3. ソフトウェアブリッジからの出力時(送信MACフィルター)
  4. ブリッジポートからの送信時(送信MACフィルター)

フィルター処理の流れ

Ethernetフレームがソフトウェアブリッジを通じて転送されるためには、該当ソフトウェアブリッジと所属インターフェース(ブリッジポート)に適用されているMACフィルターをすべて通過する必要があります。

ソフトウェアブリッジを通過するフレームに対するフィルター処理の流れは次のとおりです。


  1. ブリッジポートでの受信時


  2. ソフトウェアブリッジへの入力時


  3. ソフトウェアブリッジからの出力時


  4. ブリッジポートからの送信時


MACフィルターの作成

■ MACフィルターは複数のプロトコルルール、MACフィルタールールから構成されるリストです。グローバルコンフィグモードのmac-filterコマンドでリストを作成し、protocolコマンド(MACフィルターモード)でプロトコルルールを、ruleコマンド(MACフィルターモード)でMACフィルタールールを追加していきます。
  1. MACフィルター「denyA」を作成します。これには、mac-filterコマンドを使います。
    これにより、MACフィルター「denyA」の内容を設定するためのMACフィルターモードに移動します。
    awplus(config)# mac-filter denyA
    

  2. 特定のプロトコルだけをブリッジしたい場合は、protocolコマンド(MACフィルターモード)でプロトコルルールを定義します。
    たとえば、IPとARPだけをブリッジしたいときは次のようにします。
    awplus(config-macfilter)# protocol 001 permit ethii ether-type ip
    awplus(config-macfilter)# protocol 002 permit ethii ether-type arp
    awplus(config-macfilter)# default-protocol-action deny
    
    Note
    プロトコルフィルタールールでは、どのルールにもマッチしなかったフレームは許可されます(ブリッジ対象になります)。そのため、特定のプロトコルだけをブリッジしたいときは、この例のようにdefault-protocol-actionコマンド(MACフィルターモード)でマッチしなかったフレームを破棄するよう設定を変更してください。

  3. 次にruleコマンド(MACフィルターモード)でMACフィルタールールを追加していきます。
    awplus(config-macfilter)# rule dstA deny dmac 0000.5e00.530a smac any proto any
    awplus(config-macfilter)# rule srcA deny dmac any smac 0000.5e00.530a proto any
    awplus(config-macfilter)# rule others permit dmac any smac any proto any
    
    Note
    MACフィルタールールでは、どのルールにもマッチしなかったフレームは破棄される点に注意してください。この例ではリストの末尾にすべてを許可するルール「others」を配置することで、それまでのルールにマッチしなかったフレームを許可しています。

    Note
    1つのソフトウェアブリッジ上で複数のMACフィルターを使用する場合は、処理順序が最後になるMACフィルター以外のデフォルトアクションを「none」に設定する必要があります。これには、default-actionコマンドを使います。

MACフィルターの適用

作成したMACフィルターは、ブリッジポートかソフトウェアブリッジに適用することで初めて有効になります。

■ MACフィルターをブリッジポートやソフトウェアブリッジに適用するには、インターフェースモードのmac-filter-groupコマンドを使います。このとき適用方向(ingress、egress)とMACフィルター名を指定してください。
たとえば、ソフトウェアブリッジ1に受信MACフィルター「denyA」を適用するには、次のようにします。
awplus(config)# interface br1
awplus(config-if)# mac-filter-group ingress denyA
ここで、「br1」はソフトウェアブリッジ1を表す仮想的なインターフェース(ブリッジインターフェース)です。ブリッジインターフェースについては後述します。

また、ブリッジポートeth1に送信MACフィルター「port_out」を適用するには、次のようにします。
awplus(config)# interface eth1
awplus(config-if)# mac-filter-group egress port_out

■ MACフィルターの適用を解除するには、mac-filter-groupコマンドをno形式で実行します。このときは、適用方向(ingress、egress)だけを指定します。
たとえば、ソフトウェアブリッジ1(br1)から受信MACフィルターを削除するには次のようにします。
awplus(config)# interface br1
awplus(config-if)# no mac-filter-group ingress

統計情報

■ ソフトウェアブリッジに適用したMACフィルターの統計情報は、show mac-filterコマンドで確認できます。
awplus# show mac-filter
Iface            Rule         Options                                 Pkt Count
                 Dir / Action                                        Byte Count
-------------------------------------------------------------------------------
br1              001          Protocol   : Ethernet II                        0
                 in  / permit Ether-type : ip                                 0
br1              002          Protocol   : Ethernet II                        0
                 in  / permit Ether-type : arp                                0
br1              Protocol (default action)                                    0
                 in  / deny                                                   0
br1              dstA         DMAC  : 0000.5e00.530a                          0
                 in  / deny   SMAC  : any                                     0
                              Proto : any
br1              srcA         DMAC  : any                                     0
                 in  / deny   SMAC  : 0000.5e00.530a                          0
                              Proto : any
br1              others       DMAC  : any                                     0
                 in  / permit SMAC  : any                                     0
                              Proto : any
br1              Rule (default action)                                        0
                 in  / deny                                                   0

■ MACフィルターの統計情報はclear mac-filter counterコマンドでクリアできます。
awplus# clear mac-filter counter

ルーティングとPPPoE接続について

ソフトウェアブリッジに割り当てたインターフェースはL2インターフェース(ブリッジポート)となり、L3インターフェース(ルーティング用インターフェース)としての機能を失います。

たとえば、vlan1にIPアドレスやIPv6アドレスを設定していたとしても、vlan1をソフトウェアブリッジに割り当てた時点でvlan1のIP/IPv6アドレスは削除されます。また、vlan1をソフトウェアブリッジに割り当てた後で、vlan1にIP/IPv6アドレスを設定することはできません。

また、ソフトウェアブリッジに割り当てたインターフェース上ではPPPoE接続もできません。

ソフトウェアブリッジと他のネットワークとの間でルーティングを行う場合、および、ソフトウェアブリッジに割り当てたインターフェース上でPPPoE接続を行う場合は、次に述べるブリッジインターフェースを使用してください。

ブリッジインターフェース

ブリッジインターフェースは、ソフトウェアブリッジ全体を表す仮想的なインターフェースで、ブリッジとして動作している本製品へのIP/IPv6アクセスや、ブリッジインターフェースと他のインターフェースとの間のIP/IPv6ルーティングに使用します。
ブリッジインターフェースは、VLAN対応スイッチにおけるVLANインターフェースを思い浮かべるとわかりやすいでしょう。

■ ブリッジインターフェースは、bridgeコマンドでソフトウェアブリッジを作成すると自動的に作られます。インターフェース名は「brX」(Xはブリッジ番号)です。
awplus(config)# bridge 1
これにより、ブリッジインターフェース br1 が作成されます。

■ 作成したブリッジインターフェースにはIPアドレスやIPv6アドレスを設定して、装置自身へのアクセスに使ったり、他のインターフェースとのルーティングを行ったりすることが可能です。
awplus(config)# interface br1
awplus(config-if)# ip address 192.168.100.1/24
Note
なお、ブリッジインターフェース(brX)でサポート可能なL3機能は以下に限定されます。

■ ブリッジインターフェース上にはPPP(PPPoE)インターフェースを作成して、PPPoE接続を行うことも可能です。
たとえば、eth1をソフトウェアブリッジに割り当てている場合、eth1上にPPPインターフェースを作成して本製品自身がPPPoE接続を行うことはできませんが、所属先のブリッジインターフェース上でencapsulation pppコマンドを実行し、PPPインターフェースを作成することにより、ソフトウェアブリッジでPPPoEパケットを転送しながら、本製品自身もPPPoE接続を行う構成が可能です。
awplus(config)# interface br1
awplus(config-if)# encapsulation ppp 0
Note
PPPoEパススルー機能を使用すれば、前述の構成(PPPoEパケットを転送しながら、本製品自身もPPPoE接続を行う構成)をよりシンプルな設定で実現できます。詳しくは同機能のページをご覧ください。
Note
ソフトウェアブリッジに所属するVLANインターフェース側から本製品自身がPPPoE接続を行う構成は未サポートです。
Note
ブリッジインターフェース(brX)上でPPPoEを使用する場合は、MACフィルターで下記のPPPoE関連パケットが破棄されないように注意してください。

プロトコルルール(protocolコマンド)では、フレームフォーマットとして「ethii」を指定し、ether-typeパラメーターにキーワード「pppoe-disc」、「pppoe-sess」を指定することで前記パケットを指定できます(キーワードの代わりにEthertype値「8863」、「8864」を指定することもできます)。
awplus(config-macfilter)# protocol p1 permit ethii ether-type pppoe-disc
awplus(config-macfilter)# protocol p2 permit ethii ether-type pppoe-sess

MACフィルタールール(ruleコマンド)では、protoパラメーターにEthertype値「8863」、「8864」を指定することで前記パケットを指定できます。
awplus(config-macfilter)# rule r1 permit proto 8863
awplus(config-macfilter)# rule r2 permit proto 8864

なお、該当ソフトウェアブリッジでMACフィルターを使っていない場合は問題ありません。


(C) 2019 - 2024 アライドテレシスホールディングス株式会社

PN: 613-002735 Rev.AD