コンテンツにスキップ

ブリッジインターフェースの追加

物理インターフェースおよび仮想インターフェース上でブリッジインターフェースを設定できます。

ブリッジインターフェースを設定するには、以下の手順に従います。

  1. ネットワーク > インターフェース」に移動し、「インターフェースの追加」をクリックして、「ブリッジの追加」をクリックします。
  2. 名前を入力します。これは後で変更できます。

    最大文字数: 58

    ハードウェア名ではなく、インターフェースのカスタマイズ可能な名前が他の設定に表示されます。

  3. インターフェースのハードウェア名を入力します。この名前は後で変更できません。

    最大文字数: 10

    使用できる文字: (A-Za-z0-9_)

    制限事項

    ハードウェア名には、次のシステム予約名を含めることはできません。allgreoctmv-pcimux0mvmgmt0pport_loipsec0tunpppimqifbmastsitWWAN1_pppvxlanxfrmUSBerspan0PortMGMTethGEgretap0ip6tnl0hostredswlnetWLANSophosGuestAPspqHalink

    制限事項

    Dynamic DNS、DHCP クライアント、PPPoE、および IPsec VPN ではブリッジインターフェースを使用できません。

  4. 設定を指定します。

    オプション 説明
    このブリッジペアでルーティングを有効化する このブリッジのルーティングをオンにします。オンにした場合は、ブリッジインターフェースに IP アドレスを割り当てる必要があります。
    インターフェース

    ブリッジを設定できるインターフェース:

    • 物理インターフェース (Port1、PortA、eth0 など)
    • RED
    • LAG
    • 物理インターフェース、RED、LAG 上の VLAN インターフェース
    1つのブリッジに、最大で 64個のメンバーインターフェースを設定することが可能です。
    ゾーン インターフェースに割り当てるゾーン。
    メンバーインターフェース インターフェースゾーンブリッジメンバーのと。物理インターフェースと VLAN インターフェースを選択できます。

    インターフェースを追加するには、追加 追加ボタン。 を選択します。

    Sophos Firewall トラフィックが Web プロキシフィルタリングを使用したファイアウォールルールと一致する場合、または NAT ルールと一致する場合、IP アドレスのないブリッジインターフェースに関連するトラフィックをドロップします。これらのドロップされたパケットは記録されません。NAT ルールによってトラフィックがドロップされないようにするには、次の手順を実行します。

    1. ルールとポリシー > NAT ルール」に移動し、編集する SNAT ルールを選択します。
    2. 固有のアウトバウンドインターフェースに対する送信元変換をオーバーライド」を選択します。
    3. アウトバウンドインターフェース」を IP アドレスなしのブリッジインターフェースに設定します。
    4. 変換後の送信元 (SNAT)」を「変換前」 に設定し、「保存」をクリックします。
  5. IPv4 または IPv6 設定の詳細を指定します。ブリッジインターフェースでルーティングを選択した場合は、これらの設定を指定する必要があります。

    オプション 説明
    IP の割り当て

    IP アドレスの割り当て方法。次のオプションから選択します。

    • スタティック
    • DHCP
    IPv4/ネットマスクまたは IPv6/プレフィックス 静的 IP 割り当ての場合は、 IP アドレスを入力し、ネットマスクまたはプレフィックスを選択します。
    ゲートウェイ名 WAN ポートを持つブリッジメンバーの場合は、ゲートウェイ名を入力します。
    ゲートウェイ IP 静的 IP 割り当てを選択し、 WAN ポートを持つブリッジメンバーを選択した場合は、ゲートウェイ IP アドレスを入力します。
  6. ブリッジインターフェースを通過する VLAN トラフィックを転送またはドロップする「VLAN」設定を指定します。

    名前 説明
    VLAN のフィルタリング ブリッジインターフェースを通過する VLAN トラフィックをドロップする場合に選択します。

    フィルタリングを選択し、許可された VLAN を指定しない場合、すべての VLAN からのタグ付きトラフィックをドロップします。タグなしトラフィックはドロップされません。

    VLAN フィルタリングは、ブリッジドトラフィックにのみ適用されます。ルーティングされたトラフィックには適用されません。
    許可されている VLAN ID または ID 範囲 VLAN ID または範囲を入力します (例: 20~35)。

    これを使用して、指定された VLAN から他のブリッジメンバーにトラフィックを転送します。
  7. 詳細設定を指定します: これを使用して、ブリッジインターフェースによって転送されるブロードキャストおよびトラフィックを制御します。

    オプション 説明
    ARP ブロードキャストを許可 デフォルトでは、ブリッジインターフェースは ARP (アドレス解決プロトコル) ブロードキャストを転送して、宛先 MAC アドレスを検出します。

    ARP ブロードキャストを禁止するには、このチェックボックスをオフにします。ブロードキャストストームが発生した場合に使用できます。

    ARP ブロードキャストがない場合、ブリッジインターフェースは MAC アドレスを持つブリッジテーブルを作成できません。IP-MAC バインディングを指定するには、「ネットワーク」に進み、「ネイバー (ARP-NDP)」を使用してスタティックエントリを作成します。
    スパニングツリープロトコル (STP) をオンにする STP をオンにして、ブリッジループを防止します。ブリッジループは、2つのブリッジインターフェース間に複数のパスがある場合に発生します。冗長パスを使用すると、ネットワーク内でブロードキャストストームが発生する可能性があります。

    STP は、プライマリパスに障害が発生した場合に、冗長パスへのフェールオーバーを動的に有効にします。

    HA が有効化されている場合、ブリッジインターフェースで STP をオンにすることはできません。
    STP 最大期間 ブリッジが設定情報を送信する間隔。デフォルトの間隔は 20秒です。

    ブリッジは、ブリッジプロトコルデータユニット (BPDU) を送信して、STP 最大エージングインターバルで他のブリッジにインターフェース、MAC アドレス、ポートプライオリティなどの情報を送信します。これにより、ネットワークトポロジでテーブルを更新できます。BPDU は、ネットワーク内の障害パスの検出に役立ちます。
    MAC エイジング 非アクティブ MAC アドレスがブリッジテーブルから削除される間隔。デフォルトの間隔は 300秒です。

    ブリッジは、 MAC アドレスを学習するときのタイムスタンプを記録します。間隔よりも古いタイムスタンプを持つ MAC アドレスは削除されます。

    ゲスト Wi‑Fi ネットワークなどの動的ネットワークでは、MAC エージング間隔を短くすることができます。データセンターのあるネットワークなどの安定したネットワークでは、より高い間隔を使用できます。
    MTU MTU (最大転送ユニット) の値 (バイト)。MTU とは、ネットワークが転送可能なパケットの最大サイズです。指定された値よりも大きなパケットは、送信前に小さなパケットに分割されます。ブリッジインターフェースとそのメンバーの MTU が異なる場合、ブリッジインターフェースは小さいほうの値を継承します。継承された MTU を表示するには、インターフェーステーブルに移動します。

    例:

    ブリッジ MTU: 9000

    VLAN (ブリッジメンバー) で使用されるインターフェースの MTU: 1500

    継承されたブリッジ MTU は 1500 になります。
    MSS を上書きする デフォルトの MSS 値を上書きします。

    MTU は、TCP および IP ヘッダー値とペイロード値の合計です。IPsec トンネルなどで追加のパケットカプセル化が行われると、パケットサイズが定義された MTU 値より大きくなり、パケットがドロップされたり、フラグメンテーションが追加されたりする可能性があります。

    指定された MSS 値を上書きすると、パケットサイズが定義された MTU 値の範囲内に収まるようになります。
    MSS MSS (最大セグメントサイズ) の値 (バイト)。TCP パケットで転送可能なデータ量です。
    イーサネットフレームのフィルタリング デフォルト設定では、すべてのイーサネットフレームがブリッジを通過できます。

    ブリッジを通過するイーサネットフレームをドロップする場合に選択します。ドロップ設定は、常に許可される ARP 、 IPv4 、 IPv6 、 8021Q 、 EXTE トラフィックのフレームには影響しません。

    フィルタリングを選択しても、許可されているイーサネットフレームタイプを指定しない場合、Sophos Firewall は、常に許可されているフレームを除くすべてのイーサネットフレームのトラフィックをドロップします。
    転送されるイーサネットフレームのタイプ ブリッジインターフェースを介して転送するイーサネットフレームの EtherType を指定します。EtherType の 4桁の 16進数 ID を入力します。

    例: AppleTalk (809B)、Novell (8138)、PPPoE (8863 および 8864)

    ログビューアに、ドロップされたパケットの詳細を表示するには、「システムサービス > ログ設定」に移動します。「ファイアウォール」で「ブリッジ ACL」を選択します。

    ログを表示するには、「ログビューア」に移動して、「フィルタの追加」を選択します。フィールドを「ログのコンポーネント」に設定し、「」を「ブリッジ ACL」に設定します。

    また、フィールドを「ログの下位の種類」に設定し、値を「ARP ブロードキャスト」、「EtherType フィルタリング」、または「VLAN フィルタリング」に設定することもできます。

  8. 保存」をクリックします。

ブリッジの設定の例を以下に示します。

ブリッジの設定の例。