[index]
CentreCOM AR550S コマンドリファレンス 2.9
ブリッジング/概要・基本設定
- ルーティングとブリッジング
- 基本設定
- ブリッジモジュールの有効化
- ブリッジポートの作成
- ブリッジ対象プロトコルの指定
- タグ付きフレームのブリッジング
- タグVLAN-to-WANブリッジ
- フレームの処理
- 高度な設定
- フォワーディングデータベース
- ブリッジフィルター
- フィルターの構成
- フィルター処理の流れ
- フィルターの設定
- ブリッジ機能使用時のTelnetアクセス
本製品は、Ethernetフレームを中継するブリッジとして動作させることもできます。ここでは、ブリッジ機能の設定方法について説明します。
本製品は、あるプロトコルをルーティングしつつ、別のプロトコルをブリッジングすることができます。受信パケット/フレームのフィルタリングは、次に示す順序で行われます。
- ルーティング対象パケットのフィルタリング(Ethernetインターフェースのみ):IP、IPv6パケットは、各ルーティングモジュールの設定が適切に行われていれば、ブリッジングではなくルーティングされます。すなわち、ブリッジモジュールに渡されるのは、ルーティングの対象でないプロトコルフレームだけになります。
Note
- IP、IPv6の各モジュールを有効にしていない場合は、これらのプロトコルもブリッジングの対象となります。
- ブリッジ対象プロトコルのフィルタリング:ブリッジモジュールは、ADD BRIDGE PROTOCOLコマンドで指定されたプロトコル以外はブリッジングせずに破棄します。
- フォワーディングデータベースによるフィルタリング:ブリッジ対象プロトコルフレームに対しては、フォワーディングデータベース(MACアドレステーブル)によるフィルタリングを行います。宛先アドレスがデータベースになければ、受信ポート以外の全ポートに転送します。宛先のステーションが受信ポートと同じポート配下にある場合は、転送せずに破棄します。宛先ステーションが受信ポートとは別のポートにある場合は、そのポートに転送します。データベースは自動学習により構築されていきますが、ADD BRIDGE STATIONコマンドで手動登録することもできます。
- ブリッジフィルターによるフィルタリング:ブリッジフィルターを定義すると、ブリッジの動作をさらにカスタマイズできます。ブリッジフィルターは、送信元・宛先MACアドレス、フレームタイプ、プロトコル、データサイズ、データの内容などの各種条件に基づき、フレームの転送可否や転送先ポートなどを決定します。ブリッジフィルターは、ADD BRIDGE FILTERコマンドで作成し、SET BRIDGE PORTコマンドでブリッジポートに適用します。
本製品をブリッジとして使用するために最低限必要な設定について説明します。
ブリッジとして動作させるためには、少なくとも2つのブリッジポートが必要です。そのためには、データリンク層インターフェース(eth、vlan、ppp)をセットアップし、各インターフェース上にブリッジポートを作成する必要があります。
次に、eth0、vlan1間ですべてのプロトコルをブリッジするための設定を示します。
ルーターの設定
- ブリッジモジュールを有効にします。
- 2つのEthernetインターフェース上にブリッジポートを作成します。
ADD BRIDGE PORT=1 INT=eth0 ↓
ADD BRIDGE PORT=2 INT=vlan1 ↓
- ブリッジするプロトコルを指定します。ここではEthernet上のすべてのプロトコルを対象とします。
ADD BRIDGE PROTOCOL TYPE="all802" ↓
ADD BRIDGE PROTOCOL TYPE="allethii" ↓
ADD BRIDGE PROTOCOL TYPE="allsnap" ↓
以下、基本設定の各ステップについて詳しく説明します。
■ ブリッジ機能を使用するには、最初にブリッジモジュールを有効化する必要があります。これには、ENABLE BRIDGEコマンドを使います。
■ ブリッジモジュールの状態はSHOW BRIDGEコマンドで確認できます。
■ ブリッジモジュールを無効にするには、DISABLE BRIDGEコマンドを使います。
ブリッジとして動作させるためには、最低2つのブリッジポートが必要となります。ブリッジポートは次の2種類に分けられます。
- LANポート:EthernetインターフェースまたはVLANインターフェース上に作成したブリッジポート
- 仮想ポート:WANインターフェース(PPPかFR)上に作成したブリッジポート
■ ブリッジポートを作成するには、ADD BRIDGE PORTコマンドを使います。PORTパラメーターには1〜32の範囲で任意の番号を指定します。フレームリレーインターフェース上にブリッジポートを作成するときは、論理パスの番号(DLCI)も指定してください。
ADD BRIDGE PORT=1 INT=eth0 ↓
ADD BRIDGE PORT=2 INT=fr0 CIRCUIT=16 ↓
■ ブリッジポート固有のパラメーターはSET BRIDGE PORTコマンドで変更できます。
SET BRIDGE PORT=1 FILTER=2 ↓
■ ブリッジポートを削除するには、DELETE BRIDGE PORTコマンドを使います。
■ ブリッジポートの情報は、SHOW BRIDGE PORTコマンドで確認できます。
SHOW BRIDGE PORT ↓
SHOW BRIDGE PORT=1 ↓
本製品のブリッジ機能では、明示的に指定されたプロトコル以外はブリッジングされません。ブリッジ対象プロトコルの指定は、ADD BRIDGE PROTOCOLコマンドで行います。
■ ブリッジングするプロトコルはTYPEパラメーターで指定します。プロトコル番号を16進数で指定するか、定義済みのプロトコル名を指定してください。詳細はADD BRIDGE PROTOCOLコマンドの説明をご覧ください。
Note
- PROTOCOLパラメーターには、オプションで任意の文字列を指定することができます。この文字列は単なる名前(識別子)ですが、あとでプロトコルの優先を変更したり、プロトコルを削除するときなどにわかりやすい名前を付けておくと便利です。名前は大文字小文字を区別しません。名前を指定しなかった場合は、追加した順に番号が自動的にふられます。なお、PROTOCOLパラメーターで指定する名前は、TYPEパラメーターで指定する規定のプロトコル名とは関係ありません。
- NetBEUIをブリッジする
ADD BRIDGE PROTOCOL TYPE="Netbeui" ↓
または
ADD BRIDGE PROTOCOL TYPE=f0 ↓
- Ethernet上のすべてのプロトコルをブリッジする
ADD BRIDGE PROTOCOL TYPE=All802 ↓
ADD BRIDGE PROTOCOL TYPE=AllEthII ↓
ADD BRIDGE PROTOCOL TYPE=AllSNAP ↓
- IPをブリッジする。IPだけでなくARPもブリッジするようにしてください。
ADD BRIDGE PROTOCOL TYPE=IP ↓
ADD BRIDGE PROTOCOL TYPE=ARP ↓
- EtherTalk(AppleTalk)をブリッジする。AARPも忘れないようご注意ください。
ADD BRIDGE PROTOCOL TYPE="ETHERTALK 2" ↓
ADD BRIDGE PROTOCOL TYPE="ETHERTALK 2 AARP" ↓
- IPX(802.2)をブリッジする。ここでは後で操作しやすいように、「IPX802.2」という名前を付けています。
ADD BRIDGE PROTOCOL="IPX802.2" TYPE="Novell 802.2" ↓
■ プロトコルごとに転送時の優先度を変えることもできます。これには、ADD BRIDGE PROTOCOLコマンド、SET BRIDGE PROTOCOLコマンドのPRIORITYパラメーターを使います。優先度は0〜4の5段階で、4が最高、0が最低です。優先度を指定しなかった場合は1となります。
SET BRIDGE PROTOCOL=1 PRIORITY=4 ↓
SET BRIDGE PROTOCOL="IPX802.2" PRIORITY=3 ↓
PROTOCOLパラメーターには、SHOW BRIDGE PROTOCOLコマンドで表示されるIndex値か、ADD BRIDGE PROTOCOLコマンド実行時にPROTOCOLパラメーターで指定したプロトコル名を指定します。
■ ブリッジ対象プロトコルを削除するには、DELETE BRIDGE PROTOCOLコマンドを使います。
DELETE BRIDGE PROTOCOL=1 ↓
DELETE BRIDGE PROTOCOL="IPX802.2" ↓
■ ブリッジ対象プロトコルの一覧は、SHOW BRIDGE PROTOCOLコマンドで確認できます。
本製品は、タグ(IEEE 802.1q)付きフレームのブリッジングに対応しています。L2TPと併用することで、タグつきフレームのリモートブリッジングが可能です。
タグ付きフレームのリモートブリッジングには、VIDのチェックの有無によって2つの方法があります。
■ タグをチェックしないリモートブリッジング
通常のブリッジの設定にSET BRIDGE STRIPVLANTAGコマンドのみを使用することで、タグ付きフレームのリモートブリッジングを実現します。
- メリット
- 対向ルーターが複数設定可能
- 通常のブリッジの設定にSET BRIDGE STRIPVLANTAG=NOの設定を追加するだけで、タグ付きフレームをタグが付いたままWAN側へ送出できるようになる
- デメリット
- 通常のブリッジ設定とSET BRIDGE STRIPVLANTAG=NOの設定だけでは、ブリッジポートに指定したVLAN間の通信ができてしまうため、ブリッジフィルターの設定が必須となり、設定がやや複雑になる
- ブリッジポートに設定したIPアドレスへブリッジ対象のネットワークからアクセスできないため、ルーターへアクセスする端末はブリッジ対象からはずす必要がある
具体的な設定例については、設定例集(#172, #173)をご覧ください。
■ タグをチェックするリモートブリッジング(タグVLAN-to-WANブリッジ)
SET BRIDGE STRIPVLANTAGコマンド、SET BRIDGE CHECKVLANTAGコマンドを使用することで、タグ付きフレームのVIDのチェックを行ったリモートブリッジングを実現します。
- メリット
- 簡単な設定で(フィルターなどを使わずに)複数VLANのタグブリッジが可能になる
- ADD VLAN BRIDGEコマンドで指定したインターフェースにIPアドレスが設定できるので、設定したアドレス宛てにリモートからアクセスすることが可能
- デメリット
- 対向ルーターが1つに限定される
- ブリッジフィルターの使用不可
- ブリッジプロトコルの指定不可
- VLAN-WAN間のブリッジしかできない
- WANに指定できるインターフェースは1つまでで、PPPインターフェースのみ
以下、タグVLAN-to-WANブリッジの動作について説明します。
■ タグVLAN-to-WANブリッジのトポロジー
タグVLAN-to-WANブリッジの接続形態には、以下の2種類があります。
- シングルVLANブリッジ
リモートブリッジ全体が1つのVLANのみで構成されているWAN間タグVLAN
- マルチプルVLANブリッジ
リモートブリッジ越しに、複数のVLANがタグVLANにて構成されているWAN間タグVLAN
Note
- マルチプルVLANブリッジは、スイッチ製品におけるマルチプルVLANとは異なります。
■ タグVLAN-to-WANブリッジの補足情報/制限事項
- タグ付きポートを含むVLANもブリッジ対象として指定可能です。
- VLANインターフェースにIPアドレスを振ることで、TELNETやSNMP等、リモートからのアクセスが可能です。
- ブリッジ対象となっているVLANに複数のポートの割り当ては可能です。(ただし、VLAN内の特定ポートのみをブリッジ対象に設定するのは不可)
- WAN側ブリッジポートとして設定可能なインターフェースはPPPインターフェースのみです。
- マルチプルVLANブリッジの対象として指定できるVLANは16個までです。
- WAN側に設定可能なポート数は1つのみです。
- タグVLAN-to-WANブリッジの設定と、通常のブリッジ設定(ADD BRIDGE PORTコマンドのみで設定)を併用することはできません。
- 複数作成したVLANに、それぞれ別のWANブリッジインターフェースを割り当てることはできません。(タグVLAN-to-WANブリッジを複数グループ作成することはできません。)
- ブリッジプロトコルの指定はできません。
- ブリッジフィルターは使用できません。
フレームの処理
タグVLAN-to-WANブリッジにおけるフレームの処理について説明します。
ブリッジポートで受信するフレームには、以下の種類があります。
表 1:ブリッジポートで受信するフレームの分類
| 種類 |
説明 |
| タグ付き |
ブリッジ対象になっているVLANのVLANタグが付いているフレーム |
| タグなし |
タグが付いていないフレーム |
| ブリッジ非対象タグ付き |
自身に存在するが、ブリッジ対象ではないVLANのVLANタグが付いているフレーム |
| Unknown VLAN タグ付き |
自身に存在しないVLANのVLANタグが付いているフレーム |
■ 受信したフレームの処理(VLANインターフェース)
VLANインターフェースで受信したフレームの処理は以下のとおりです。ただし、ブリッジ時にタグをつける(もしくはつけたまま送信する)かどうかは SET BRIDGE STRIPVLANTAGコマンドの設定に依存します。
表 2:VLANインターフェースで受信したフレームの処理
| 受信フレームの種類 |
処理(PASS/DROP) |
| 受信ポートがタグ付きポートの場合 |
受信ポートがタグなしポートの場合 |
| タグ付き |
VIDがブリッジ対象であればPASS |
VIDがブリッジ対象であればPASS(STRIPVLANTAG=NOの場合はタグもつけたままPASS) |
| タグなし |
DROP |
STRIPVLANTAG=NOであれば、受信したVLANポートのVIDを付加し、そのVIDがブリッジ対象であればPASS |
| ブリッジ非対象タグ付き |
DROP |
DROP |
| Unknown VLAN タグ付き |
DROP |
DROP |
■ 受信したフレームの処理(WANインターフェース)
WANインターフェースで受信したフレームの処理は以下のとおりです。SET BRIDGE CHECKVLANTAGコマンドの設定に依存します。ただし、CHECKVLANTAGの設定が有効の場合でも、以下のような条件では適用されません。
- ブリッジが複数のVLANにて構成されている環境
- ブリッジ対象VLANからブリッジポートへ流れるフレーム
表 3:WANインターフェースで受信したフレームの処理(シングルVLANブリッジ)
| 受信フレームの種類 |
処理(PASS/DROP) |
| CHECKVLANTAG=NOの場合 |
CHECKVLANTAG=YESの場合 |
| タグ付き |
PASS |
PASS |
| タグなし |
PASS(*1) |
DROP |
| ブリッジ非対象タグ付き |
PASS(*1) |
DROP |
| Unknown VLAN タグ付き |
PASS(*1) |
DROP |
| *1 VLAN側に宛先の端末が実際に存在していれば正しいVLANタグをつけて送出するが、送出されるVLANインターフェースにタグポートの設定がされていない場合には、VLANタグははずして送出される。 |
表 4:WANインターフェースで受信したフレームの処理(マルチプルVLANブリッジ)
| 受信フレームの種類 |
処理(PASS/DROP) |
| CHECKVLANTAG=NOの場合 |
CHECKVLANTAG=YESの場合 |
| タグ付き |
PASS |
PASS |
| タグなし |
DROP |
DROP |
| ブリッジ非対象タグ付き |
DROP |
DROP |
| Unknown VLAN タグ付き |
DROP |
DROP |
フォワーディングデータベース(MACアドレステーブル)は、ブリッジが受信フレームの転送先ポートを決定するために使用するデータベースです。
■ データベースの内容を確認するには、SHOW BRIDGE STATIONコマンドを実行します。
■ スタティックエントリーを追加するには、ADD BRIDGE STATIONコマンドを使います。
ADD BRIDGE STATION=00-00-f4-12-34-56 PORT=1 ↓
■ アドレスエントリーを削除するには、DELETE BRIDGE STATIONコマンドを使います。ダイナミックエントリーであっても削除できます。MACアドレスとポート番号を指定してください。
DELETE BRIDGE STATION=00-00-f4-95-9c-96 PORT=2 ↓
■ 自動学習機能はデフォルトでオンになっています。これをオフにするにはDISABLE BRIDGE LEARNINGコマンドを使います。また再度オンにするには、ENABLE BRIDGE LEARNINGコマンドを実行します。
■ エージングタイムを変更するにはSET BRIDGE AGEINGTIMERコマンドを使用します。10〜1000000(11日と13時間46分40秒)の範囲で指定できます。デフォルトは300秒(5分)です。
SET BRIDGE AGEINGTIMER=600 ↓
■ 自動学習とエージングの設定を確認するにはSHOW BRIDGEコマンドを使います。「Filter Learning」(自動学習機能)、「Ageingtime」(エージングタイム)の表示をご覧ください。
ブリッジフィルターは、受信フレームのフィールド値に基づき、フレームの転送可否や転送先ポートを決定する機能です。ブリッジフィルターはADD BRIDGE FILTERコマンドで作成し、SET BRIDGE PORTコマンドでブリッジポートに適用することによって有効になります。
フィルターの構成
ブリッジフィルターは、複数のフィルターエントリー(ルール)で構成されるリストです。各フィルターはフィルター番号(1〜99)で、フィルター内の各エントリーはエントリー番号で識別します。
作成したフィルターは、ブリッジポートに適用することによって有効になります。各ブリッジポートには、ブリッジフィルターを1つだけ適用することができます。フレームのフィルタリングは、受信ポートで行われます。
フィルター処理の流れ
ブリッジフィルターの適用されているポートでフレームを受信すると、フィルター内の各エントリーを番号の若い順にチェックし、最初にマッチしたエントリーで指定されたポートにフレームを転送します。PORT=NONEの場合は転送せずに破棄します。また、PORT=ALLの場合はフォワーディングデータベースに基づき通常の転送処理を行います。
フィルターが設定されている場合、いずれのエントリーにもマッチしなかったフレームは破棄されます(デフォルト拒否)。そのため、特定のフレームだけを拒否したい場合は、エントリーリストの最後にすべてを許可するエントリーを明示的に追加する必要があります。
フィルターの設定
■ ブリッジフィルターを作成するには、ADD BRIDGE FILTERコマンドを使います。FILTERパラメーターにはフィルター番号(1〜99)を指定します。また、PORTパラメーターで転送可否または転送先ポートを指定します。以下、条件指定の例を挙げます。詳細はコマンドリファレンスをご覧ください。
- 送信元アドレスが00-00-f4-12-34-56のフレームを破棄する。2行目はその他のフレームを通常通り転送させるためのエントリーです(以下同様)。
ADD BRIDGE FILTER=1 SA=00-00-f4-12-34-56 PORT=NONE ↓
ADD BRIDGE FILTER=1 PORT=ALL ↓
- 送信元アドレスが00-00-f4で始まるフレームを破棄する
ADD BRIDGE FILTER=2 SA=00-00-f4-00-00-00 SMASK=ff-ff-ff-00-00-00 PORT=NONE ↓
ADD BRIDGE FILTER=2 PORT=ALL ↓
- 送信元アドレスが00-00-f4-cc-bb-aaのフレームだけを転送する。条件にマッチしないフレームは自動的に破棄されるため、拒否エントリーを作成する必要はありません
ADD BRIDGE FILTER=1 SA=00-00-f4-cc-bb-aa PORT=ALL ↓
- フレームのデータサイズが100バイト以下のフレームを破棄する
ADD BRIDGE FILTER=3 SIZE<=100 PORT=NONE ↓
ADD BRIDGE FILTER=3 PORT=ALL ↓
- フレームデータの第1〜2オクテットが「0x4500」にマッチするフレームを破棄する
ADD BRIDGE FILTER=4 OFFSET=1 DATA=4500 PORT=NONE ↓
ADD BRIDGE FILTER=4 PORT=ALL ↓
■ 作成したフィルターは、SET BRIDGE PORTコマンドでブリッジポートに適用して初めて効果を持ちます。ブリッジポート「1」にフィルター「3」を適用するには、次のようにします。
SET BRIDGE PORT=1 FILTER=3 ↓
■ ブリッジポートからフィルターの適用を取り消すには、FILTERパラメーターにNONEを指定します。
SET BRIDGE PORT=1 FILTER=NONE ↓
■ ブリッジフィルターの設定を確認するには、SHOW BRIDGE FILTERコマンドを使います。
SHOW BRIDGE FILTER ↓
SHOW BRIDGE FILTER=2 ↓
■ ブリッジポートに適用されているフィルターを確認するには、SHOW BRIDGE PORTコマンドを使います。「Port filter」欄をご覧ください。
SHOW BRIDGE PORT ↓
SHOW BRIDGE PORT=1 ↓
■ ブリッジフィルターからエントリーを削除するには、DELETE BRIDGE FILTERコマンドのENTRYパラメーターを使います。エントリー番号は可変なので、削除時には必ずSHOW BRIDGE FILTERコマンドで希望するエントリーの番号を調べてから指定してください。
DELETE BRIDGE FILTER=2 ENTRY=3 ↓
Note
- エントリーを削除すると、後続のエントリー番号が1つずつ前にずれます。
■ フィルターそのものを削除するには、DELETE BRIDGE FILTERコマンドのENTRYパラメーターを省略します。フィルター内にエントリーがあってもすべて削除されます。
本製品をブリッジとして使用しているとき、Telnetでルーターにログインするには次のような設定をしてください。ブリッジの設定は完了しているものと仮定します。
- IPモジュールを有効にします。
- EthernetインターフェースにIPアドレスを割り当てます。
ADD IP INT=eth0 IP=192.168.10.2 ↓
Note
- ブリッジ機能使用時、管理アクセス(TelnetやSNMP)用のIPアドレスは必ずEthernetインターフェース(eth)に設定してください。他のインターフェース(vlanなど)にIPアドレスを設定しても、正常に動作しません。
Note
- IPアドレスを割り当てたEthernetインターフェース配下に接続されている端末からのTelnetアクセスにのみ応答します。
- ブリッジ対象プロトコルとして、IPとARPを明示的に指定してください。
ADD BRIDGE PROTOCOL TYPE=IP ↓
ADD BRIDGE PROTOCOL TYPE=ARP ↓
Note
- 「AllEthII」を指定するだけではうまくいきません。IPとARPを明示的に追加してください。
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-03 Rev.K