ブリッジング / 一般設定

ローカルブリッジ
基本設定
リモートブリッジ(L2TPv3)
基本設定(タグなしフレーム)
応用設定(タグ付きフレーム)
その他
ブリッジできない制御パケット
設定・状態の確認
MACフィルター
フィルターの適用場所
フィルター処理の流れ
MACフィルターの作成
MACフィルターの適用
統計情報
ルーティングについて
ブリッジインターフェース

本製品は、インターフェース間でEthernetフレームを中継するブリッジ(ソフトウェアブリッジ)として動作させることができます。ここでは、ブリッジ機能の設定方法について説明します。

ブリッジングが可能なインターフェース(ブリッジポートとして使用可能なインターフェース)は次のとおりです。
インターフェース種別
送受信するEthernetフレーム
備考
タグなし
タグ付き
VLANインターフェース(vlanX)
タグの有無はメンバーポートのタグ設定にしたがう
Ethernetインターフェース(ethX)
×
  
802.1Q Ethernetサブインターフェース(ethX.Y)
×
 
L2TPv3トンネルインターフェース(tunnelX)
×
  
802.1Q L2TPv3トンネルサブインターフェース(tunnelX.Y)
×
 
OpenVPN Tap(L2)トンネルインターフェース(tunnelX)
×
  
802.1Q OpenVPN Tap(L2)トンネルサブインターフェース(tunnelX.Y)
×
 
Note
同じソフトウェアブリッジに所属するインターフェースのMTU値が異なる場合は、それぞれのMTU値を合わせるようにしてください(mtuコマンド)。
Note
VLANインターフェースでブリッジ機能を使用している場合は、フォワーディングデータベース(MACアドレステーブル)の自動学習機能(mac address-table acquireコマンド)を無効化しないでください(無効化設定はサポート対象外です)。

ここでは、ソフトウェアブリッジの基本的な設定方法を説明します。
ソフトウェアブリッジのより具体的な使用例については、「設定例集」をご覧ください。

ローカルブリッジ

基本設定

下記のインターフェース間ですべてのプロトコルをブリッジします。
  1. ソフトウェアブリッジ「1」を作成します。これにはbridgeコマンドを使います。
    awplus(config)# bridge 1

  2. ソフトウェアブリッジ「1」にeth1を追加します。これにはインターフェースモードのbridge-groupコマンドを使います。
    awplus(config)# interface eth1
awplus(config-if)# bridge-group 1
awplus(config-if)# exit

  3. ソフトウェアブリッジ「1」にeth2を追加します。
    awplus(config)# interface eth2
awplus(config-if)# bridge-group 1
awplus(config-if)# exit

  4. ソフトウェアブリッジ「1」にvlan1を追加します。
    awplus(config)# interface vlan1
awplus(config-if)# bridge-group 1
awplus(config-if)# exit

ローカルブリッジとしての設定は以上です。

リモートブリッジ(L2TPv3)

L2TPv3は、既存のIPv4/IPv6ネットワーク経由でEthernet LAN同士をブリッジ接続するための仕組みです。
本製品では、固定IP/IPv6アドレスを持つ拠点間のL2接続(ブリッジ接続)に使います。

L2TPv3の詳細設定については、「VPN」の「L2TPv3」をご覧ください。

基本設定(タグなしフレーム)

ここでは、下記の構成において、ルーターA・Bのvlan1同士をリモートブリッジ接続し、タグなしフレームのブリッジングを行います。

以下では、ルーターA側の設定例を示します。
なお、前提事項として、ルーターA(自装置)のWAN側IPアドレスは10.1.1.1、ルーターB(対向装置)のWAN側IPアドレスは10.2.2.2とし、ルーターA・B間で通信を行うために必要なIPの設定はすんでいるものとします。
  1. L2TPv3トンネルインターフェースtunnel0を作成します。
    L2TPv3の詳細設定については、「VPN」の「L2TPv3」をご覧ください。
    awplus(config)# interface tunnel0
awplus(config-if)# tunnel mode l2tp v3
awplus(config-if)# tunnel source 10.1.1.1
awplus(config-if)# tunnel destination 10.2.2.2
awplus(config-if)# tunnel local id 101
awplus(config-if)# tunnel remote id 102
awplus(config-if)# mtu 1500
awplus(config-if)# exit

  2. ソフトウェアブリッジ「1」を作成します。これにはbridgeコマンドを使います。
    awplus(config)# bridge 1

  3. ソフトウェアブリッジ「1」にvlan1を追加します。これにはインターフェースモードのbridge-groupコマンドを使います。
    awplus(config)# interface vlan1
awplus(config-if)# bridge-group 1
awplus(config-if)# exit

  4. ソフトウェアブリッジ「1」にtunnel0を追加します。
    awplus(config)# interface tunnel0
awplus(config-if)# bridge-group 1
awplus(config-if)# exit
設定は以上です。

応用設定(タグ付きフレーム)

ここでは、下記の構成において、ルーターA・B間でvlan2、vlan3のタグ付きフレームをブリッジングします。

以下では、ルーターA側の設定例を示します。
なお、前提事項として、ルーターA(自装置)のWAN側IPアドレスは10.1.1.1、ルーターB(対向装置)のWAN側IPアドレスは10.2.2.2とし、ルーターA・B間で通信を行うために必要なIPの設定はすんでいるものとします。
  1. vlan2、vlan3を作成し、LANポート「1」(port1.0.1)をvlan2とvlan3のタグ付きポートに設定します。
    VLANの詳細設定については、「L2スイッチング」の「バーチャルLAN」をご覧ください。
    awplus(config)# vlan database
awplus(config-vlan)# vlan 2-3
awplus(config-vlan)# exit
awplus(config)# interface port1.0.1
awplus(config-if)# switchport mode trunk
awplus(config-if)# switchport trunk allowed vlan add 2-3
awplus(config-if)# exit

  2. L2TPv3トンネルインターフェースtunnel0を作成します。
    L2TPv3の詳細設定については、「VPN」の「L2TPv3」をご覧ください。
    awplus(config)# interface tunnel0
awplus(config-if)# tunnel mode l2tp v3
awplus(config-if)# tunnel source 10.1.1.1
awplus(config-if)# tunnel destination 10.2.2.2
awplus(config-if)# tunnel local id 101
awplus(config-if)# tunnel remote id 102
awplus(config-if)# mtu 1500

  3. トンネルインターフェースtunnel0上に802.1Qサブインターフェースを2つ作成します。これにはencapsulation dot1qコマンドを使います。
    これらのサブインターフェースは、指定したVLAN IDのタグ付きEthernetフレームを送受信するためのものです。
    awplus(config-if)# encapsulation dot1q 2
awplus(config-if)# encapsulation dot1q 3
awplus(config-if)# exit

  4. ソフトウェアブリッジ「2」、「3」を作成します。これにはbridgeコマンドを使います。
    これらのソフトウェアブリッジには、それぞれvlan2、vlan3のタグ付きフレームをブリッジングさせます。
    awplus(config)# bridge 2
awplus(config)# bridge 3

  5. vlan2、vlan3をそれぞれソフトウェアブリッジ「2」、「3」に割り当てます。これにはインターフェースモードのbridge-groupコマンドを使います。
    awplus(config)# interface vlan2
awplus(config-if)# bridge-group 2
awplus(config-if)# exit
awplus(config)# interface vlan3
awplus(config-if)# bridge-group 3
awplus(config-if)# exit

  6. 802.1Qサブインターフェース「tunnel0.2」、「tunnel0.3」をそれぞれソフトウェアブリッジ「2」、「3」に割り当てます。
    サブインターフェース名「tunnel0.X」の「X」には、encapsulation dot1qコマンドで指定したVLAN IDが入ります。
    awplus(config)# interface tunnel0.2
awplus(config-if)# mtu 1500
awplus(config-if)# bridge-group 2
awplus(config-if)# exit
awplus(config)# interface tunnel0.3
awplus(config-if)# mtu 1500
awplus(config-if)# bridge-group 3
awplus(config-if)# exit
設定は以上です。

その他

ブリッジできない制御パケット

以下の制御パケットはブリッジできません。
01-80-C2-00-00-00 Spanning Tree BPDU
01-80-C2-00-00-01 IEEE802.3x PAUSE
01-80-C2-00-00-02 IEEE802.3ad LACP
01-80-C2-00-00-03 IEEE802.1X EAPOL
01-80-C2-00-00-0E IEEE802.1AB LLDP

設定・状態の確認

■ 設定済みのソフトウェアブリッジと所属インターフェースはshow bridgeコマンドで確認できます。
awplus> show bridge

■ ソフトウェアブリッジのフォワーディングデータベースはshow bridge macaddrコマンドで確認できます。
awplus> show bridge macaddr

MACフィルター

MACフィルターは、ソフトウェアブリッジを通過するEthernetフレームのヘッダーフィールド値にもとづき、フレームの転送可否を決定する機能です。

本機能は、MACフィルターを作成して、ソフトウェアブリッジまたは所属インターフェース(以下、ブリッジポート)に適用することで有効になります。

フィルターの適用場所

MACフィルターは、各ソフトウェアブリッジにおいて、下記の4箇所で適用できます。
  1. ブリッジポートでの受信時(受信MACフィルター)
  2. ソフトウェアブリッジへの入力時(受信MACフィルター)
  3. ソフトウェアブリッジからの出力時(送信MACフィルター)
  4. ブリッジポートからの送信時(送信MACフィルター)

フィルター処理の流れ

Ethernetフレームがソフトウェアブリッジを通じて転送されるためには、該当ソフトウェアブリッジと所属インターフェース(ブリッジポート)に適用されているMACフィルターをすべて通過する必要があります。

ソフトウェアブリッジを通過するフレームに対するフィルター処理の流れは次のとおりです。


  1. ブリッジポートでの受信時


  2. ソフトウェアブリッジへの入力時


  3. ソフトウェアブリッジからの出力時


  4. ブリッジポートからの送信時


MACフィルターの作成

■ MACフィルターは複数のルールから構成されるリストです。グローバルコンフィグモードのmac-filterコマンドでリストを作成し、ruleコマンド(MACフィルターモード)で具体的なルールを追加していきます。
  1. MACフィルター「denyA」を作成します。これには、mac-filterコマンドを使います。
    awplus(config)# mac-filter denyA

  2. 前記コマンドを実行すると、MACフィルター「denyA」の内容を設定するためのMACフィルターモードに移動するので、ruleコマンド(MACフィルターモード)でルールを追加していきます。
    awplus(config-macfilter)# rule dstA deny dmac 0000.5e00.530a smac any proto any
awplus(config-macfilter)# rule srcA deny dmac any smac 0000.5e00.530a proto any
awplus(config-macfilter)# rule others permit dmac any src any proto any
    Note
    MACフィルターでは、どのルールにもマッチしなかったフレームは破棄される点に注意してください。この例ではリストの末尾にすべてを許可するルール「others」を配置することで、それまでのルールにマッチしなかったフレームを許可しています。

    Note
    1つのソフトウェアブリッジ上で複数のMACフィルターを使用する場合は、処理順序が最後になるMACフィルター以外のデフォルトアクションを「none」に設定する必要があります。これには、default-actionコマンドを使います。

MACフィルターの適用

作成したMACフィルターは、ブリッジポートかソフトウェアブリッジに適用することで初めて有効になります。

■ MACフィルターをブリッジポートやソフトウェアブリッジに適用するには、インターフェースモードのmac-filter-groupコマンドを使います。このとき適用方向(ingress、egress)とMACフィルター名を指定してください。
たとえば、ソフトウェアブリッジ1に受信MACフィルター「denyA」を適用するには、次のようにします。
awplus(config)# interface br1
awplus(config-if)# mac-filter-group ingress denyA
ここで、「br1」はソフトウェアブリッジ1を表す仮想的なインターフェース(ブリッジインターフェース)です。ブリッジインターフェースについては後述します。

また、ブリッジポートeth2に送信MACフィルター「port_out」を適用するには、次のようにします。
awplus(config)# interface eth2
awplus(config-if)# mac-filter-group egress port_out

■ MACフィルターの適用を解除するには、mac-filter-groupコマンドをno形式で実行します。このときは、適用方向(ingress、egress)だけを指定します。
たとえば、ソフトウェアブリッジ1(br1)から受信MACフィルターを削除するには次のようにします。
awplus(config)# interface br1
awplus(config-if)# no mac-filter-group ingress

統計情報

■ ソフトウェアブリッジに適用したMACフィルターの統計情報は、show mac-filterコマンドで確認できます。
awplus# show mac-filter
Iface          Rule         Dir  DMAC            SMAC            Proto   Action
                                                                      Pkt Count
                                                                     Byte Count
-------------------------------------------------------------------------------
br1            dstA         in   0000.5e00.530a  any             any       deny
                                                                              0
                                                                              0
br1            srcA         in   any             0000.5e00.530a  any       deny
                                                                              0
                                                                              0
br1            others       in   any             any             any       deny
                                                                              0
                                                                              0

■ MACフィルターの統計情報はclear mac-filter counterコマンドでクリアできます。
awplus# clear mac-filter counter

ルーティングについて

ソフトウェアブリッジに割り当てたインターフェースはL2インターフェース(ブリッジポート)となり、L3インターフェース(ルーティング用インターフェース)としての機能を失います。

たとえば、vlan1にIPアドレスやIPv6アドレスを設定していたとしても、vlan1をソフトウェアブリッジに割り当てた時点でvlan1のIP/IPv6アドレスは削除されます。また、vlan1をソフトウェアブリッジに割り当てた後で、vlan1にIP/IPv6アドレスを設定することはできません。

ソフトウェアブリッジと他のネットワークとの間でルーティングを行う場合は、次に述べるブリッジインターフェースを使用してください。

ブリッジインターフェース

ブリッジインターフェースは、ソフトウェアブリッジ全体を表す仮想的なレイヤー3インターフェースで、ブリッジとして動作している本製品へのIP/IPv6アクセスや、ブリッジインターフェースと他のインターフェースとの間のIP/IPv6ルーティングに使用します。
ブリッジインターフェースは、VLAN対応スイッチにおけるVLANインターフェースを思い浮かべるとわかりやすいでしょう。

■ ブリッジインターフェースは、bridgeコマンドでソフトウェアブリッジを作成すると自動的に作られます。インターフェース名は「brX」(Xはブリッジ番号)です。
awplus(config)# bridge 1
これにより、ブリッジインターフェース br1 が作成されます。

■ 作成したブリッジインターフェースにはIPアドレスやIPv6アドレスを設定して、装置自身へのアクセスに使ったり、他のインターフェースとのルーティングを行ったりすることが可能です。
awplus(config)# interface br1
awplus(config-if)# ip address 192.168.100.1/24
Note
なお、ブリッジインターフェース(brX)でサポート可能なL3機能は以下に限定されます。
また、ブリッジインターフェース(brX)をL3インターフェースとして使用する場合は、必ずl3-filtering enableコマンドを設定してください。
awplus(config)# interface br1
awplus(config-if)# l3-filtering enable

(C) 2015 - 2019 アライドテレシスホールディングス株式会社

PN: 613-002765 Rev.A