Bridge-Schnittstelle hinzufügen

Sie können eine Bridge-Schnittstelle über physische und virtuelle Schnittstellen einrichten.

  1. Gehen Sie zu Netzwerk > Schnittstellen, klicken Sie auf Schnittstelle hinzufügen und klicken Sie dann auf Bridge hinzufügen.
  2. Geben Sie einen Namen ein. Sie können diesen Namen später ändern.

    Maximale Anzahl von Zeichen: 58

    Die Subsysteme zeigen den anpassbaren Name und nicht den Hardware-Namen der Schnittstelle an.

  3. Geben Sie einen Hardware-Namen für die Schnittstelle ein. Sie können diesen Namen später nicht ändern.

    Maximale Anzahl von Zeichen: 10

    Erlaubte Zeichen: (A-Za-z0-9_)

  4. Legen Sie die Einstellungen fest.
    OptionBezeichnung
    Routing auf diesem Bridge-Paar zulassen Aktivieren Sie Routing auf dieser Bridge.

    Wenn Sie sie eingeschaltet haben, müssen Sie der Bridge-Schnittstelle eine IP-Adresse zuweisen.

    Schnittstelle Schnittstellen, auf denen Sie eine Bridge einrichten können:
    • Eine physische Schnittstelle ist ein Port, z.B. Port1, PortA oder eth0.
    • RED
    • LAG
    • VLAN-Schnittstelle auf einer physischen Schnittstelle, RED oder LAG

    Eine Bridge kann maximal 64 Mitgliedsschnittstellen haben.

    Zone Zone, die einem Netzwerk zugewiesen ist.

    Mitglieder der Bridge

    Schnittstelle und Zone von Bridge-Mitgliedern. Sie können physische und VLAN-Schnittstellen auswählen.

    Um weitere Schnittstellen hinzuzufügen, klicken Sie auf die Schaltfläche Plus Schaltfläche „Erweitern“.

    XG Firewall verwirft den Datenverkehr, der sich auf Bridge-Schnittstellen ohne IP-Adresse bezieht, wenn der Datenverkehr mit einer Firewallregel mit Web-Proxy-Filterung übereinstimmt oder wenn er mit einer NAT-Regel übereinstimmt. Diese verworfenen Pakete werden nicht protokolliert. Um zu verhindern, dass NAT-Regeln den Datenverkehr verwerfen, gehen Sie folgendermaßen vor:

    1. Gehen Sie zu Regeln und Richtlinien > NAT-Regeln und wählen Sie die SNAT-Regel aus, die Sie bearbeiten wollen.
    2. Wählen Sie Quellübersetzung für bestimmte ausgehende Schnittstellen auslassen aus.
    3. Setzen Sie Ausgehende Schnittstelle auf die Bridge-Schnittstelle ohne IP-Adresse.
    4. Setzen Sie Übersetzte Quelle (SNAT) aufUrsprünglich und klicken Sie auf Speichern.
  5. Optional Geben Sie die IPv4- oder IPv6-Konfigurationsdetails an. Sie müssen diese Einstellungen angeben, wenn Sie Routing auf der Bridge-Schnittstelle ausgewählt haben.
    OptionBezeichnung
    IP-Zuweisung

    Zuweisungsmethode für die IP-Adresse. Wählen Sie aus den folgenden Optionen:

    • Statisch
    • DHCP
    IPv4/Netzmaske oder IPv6/Präfix Geben Sie für die statische IP-Zuweisung die IP-Adresse ein und wählen Sie die Netzmaske oder das Präfix aus.
    Gateway-Name Geben Sie bei Bridge-Mitgliedern mit WAN-Ports den Gateway-Namen ein.
    Gateway-IP Wenn Sie statische IP-Zuweisung und Bridge-Mitglieder mit WAN-Ports ausgewählt haben, geben Sie die Gateway-IP-Adresse ein.
  6. Legen Sie die VLAN-Einstellungen fest, mit denen VLAN-Datenverkehr über die Bridge-Schnittstelle weitergeleitet oder verworfen werden soll.

    Name

    Beschreibung

    VLANs filtern

    Auswählen, um VLAN-Datenverkehr, der die Bridge-Schnittstelle passiert, zu verwerfen.

    Wenn Sie Filterung auswählen, aber nicht die zulässigen VLANs angeben, wird XG Firewall den mit einem Tag gekennzeichneten Datenverkehr von allen VLANs verwerfen. Nicht gekennzeichneter Datenverkehr wird nicht verworfen.

    VLAN-Filterung gilt nur für Bridge-Datenverkehr. Sie gilt nicht für gerouteten Datenverkehr.

    Erlaubte VLAN-ID oder ID-Bereich

    Geben Sie VLAN-IDs oder -Bereiche ein (Beispiel: 20–35).

    Verwenden Sie diese Funktion, um Datenverkehr von den angegebenen VLANs an die anderen Bridge-Mitglieder weiterzuleiten.

  7. Optional Legen Sie die erweiterten Einstellungen fest. Verwenden Sie diese Funktion, um Broadcasts und Datenverkehr zu steuern, der von der Bridge-Schnittstelle weitergeleitet wird.
    OptionBezeichnung

    ARP-Broadcast erlauben

    Standardmäßig leiten Bridge-Schnittstellen ARP-Broadcasts (Address Resolution Protocol) weiter, um die Ziel-MAC-Adressen zu ermitteln.

    Deaktivieren Sie das Kontrollkästchen, um ARP-Broadcasts zu verhindern. Sie können diese Funktion verwenden, wenn es einen Broadcast-Sturm gibt.

    Ohne ARP-Broadcasts können Bridge-Schnittstellen keine Bridge-Tabelle mit MAC-Adressen erstellen. Um die IP-MAC-Bindung festzulegen, gehen Sie zu Netzwerk und erstellen Sie statische Einträge mit Nachbarn (ARP-NDP).

    Spanning Tree Protocol (STP) einschalten

    Aktivieren Sie STP, um Bridge-Schleifen zu verhindern, die auftreten, wenn mehr als ein Pfad zwischen zwei Bridge-Schnittstellen vorhanden ist. Redundante Pfade können zu einem Broadcast-Sturm im Netzwerk führen.

    STP ermöglicht auch ein dynamisches Failover auf redundante Pfade, wenn der primäre Pfad ausfällt.

    Sie können STP auf keiner Bridge-Schnittstelle aktivieren, wenn HA aktiviert ist.

    STP max age

    Intervall, in dem Bridges ihre Konfigurationsinformationen übermitteln. Als Standardintervall sind 20 Sekunden voreingestellt.

    Bridges senden Bridge Protocol Data Units (BPDU) zur Übertragung von Informationen wie Schnittstelle, MAC-Adresse und Port-Priorität an andere Bridges im STP-max-age-Intervall. Dadurch können sie ihre Tabellen mit der Netzwerktopologie aktualisieren. BPDUs helfen, fehlerhafte Pfade im Netzwerk zu erkennen.

    MAC-Alterung

    Intervall, in dem inaktive MAC-Adressen aus der Bridge-Tabelle entfernt werden. Als Standardintervall sind 300 Sekunden voreingestellt.

    Bridges merken sich den Zeitstempel, an dem sie eine MAC-Adresse gelernt haben. MAC-Adressen mit Zeitstempeln, die älter als das Intervall sind, werden entfernt.

    In dynamischen Netzwerken wie Gast-WLAN-Netzwerken können Sie geringere MAC-Alterungsintervalle verwenden. In stabilen Netzwerken, wie Netzwerken mit Rechenzentren, können Sie höhere Intervalle verwenden.

    MTU MTU-Wert (Maximum Transmission Unit) in Bytes. Sie ist die größte Paketgröße, die ein Netzwerk übertragen kann. Pakete, die den festgelegten Wert überschreiten, werden vor dem Senden in kleinere Pakete aufgeteilt (fragmentiert).

    Wenn sich die MTU der Bridge-Schnittstelle und ihrer Mitglieder unterscheidet, erbt die Bridge-Schnittstelle den niedrigeren Wert. Um die vererbte MTU anzuzeigen, gehen Sie zur Schnittstellentabelle.

    Beispiel:

    Bridge-MTU: 9000

    MTU der im VLAN verwendeten Schnittstelle (Bridge-Mitglied): 1500

    Vererbte Bridge-MTU wird zu 1500.

    MSS überschreiben

    Auswählen, um den MSS-Wert zu überschreiben.

    MTU ist die Summe der TCP- und IP-Header-Werte und des Nutzlast-Werts. Wenn eine zusätzliche Paketkapselung stattfindet, z.B. in IPsec-Tunneln, kann die Paketgröße größer werden als der definierte MTU-Wert, was zum Verwerfen von Paketen oder zusätzlicher Fragmentierung führt.

    Durch das Überschreiben des angegebenen MSS-Werts wird sichergestellt, dass die Paketgröße innerhalb des definierten MTU-Werts bleibt.

    MSS

    MSS (Maximum Segment Size) in Bytes. Das ist die Datenmenge, die in einem TCP-Paket übertragen werden kann.

    Ethernet-Frames filtern

    Die Standardeinstellung erlaubt es allen Ethernet-Frames, die Bridge zu passieren.

    Wählen Sie diese Option, um Ethernet-Frames vor dem Passieren der Bridge zu verwerfen. Die Verwerfen-Einstellung hat keinen Einfluss auf die Frames von ARP, IPv4, IPv6, 8021Q, EXTE-Verkehr, welche stets erlaubt sind.

    Wenn Sie Filterung auswählen, aber nicht die zulässigen Ethernet-Frame-Typen angeben, verwirft XG Firewall Datenverkehr für alle Ethernet-Frames mit Ausnahme der Frames, die stets erlaubt sind.

    Weitergeleitete Ethernet-Frametypen

    Geben Sie die EtherTypes an, deren Ethernet-Frames über die Bridge-Schnittstelle weitergeleitet werden sollen. Geben Sie die vierstellige hexadezimale ID des EtherType ein.

    Beispiel: AppleTalk (809B), Novell (8138), PPPoE (8863 und 8864)

    Um die Protokollansicht mit Details zu verworfenen Paketen zu aktualisieren, gehen Sie zu Systemdienste > Protokolleinstellungen. Wählen Sie unter Firewall die Option ACLs bridgen aus.

    Um die Protokolle anzuzeigen, gehen Sie zu Protokollansicht und wählen Sie Filter hinzufügen aus. Setzen Sie das Feld auf Protokollkomponente und Wert auf ACLs bridgen.

    Zusätzlich können Sie das Feld auf Protokoll-Untertyp und den Wert auf ARP-Broadcast, EtherType-Filterung oder VLAN-Filterung setzen.

  8. Klicken Sie auf Speichern.