ブリッジインターフェースの追加
物理インターフェースおよび仮想インターフェース上でブリッジインターフェースを設定できます。
ブリッジインターフェースを設定するには、以下の手順に従います。
- 「ネットワーク > インターフェース」に移動し、「インターフェースの追加」をクリックして、「ブリッジの追加」をクリックします。
-
名前を入力します。これは後で変更できます。
最大文字数: 58
ハードウェア名ではなく、インターフェースのカスタマイズ可能な名前が他の設定に表示されます。
-
インターフェースのハードウェア名を入力します。この名前は後で変更できません。
最大文字数: 10
使用できる文字: (A-Za-z0-9_)
制限事項
ハードウェア名には、次のシステム予約名を含めることはできません。
all
、gre
、oct
、mv-pcimux0
、mvmgmt0
、pport_
、lo
、ipsec0
、tun
、ppp
、imq
、ifb
、mast
、sit
、WWAN1
、_ppp
、vxlan
、xfrm
、USB
、erspan0
、Port
、MGMT
、eth
、GE
、gretap0
、ip6tnl0
、host
、reds
、wlnet
、WLAN
、Sophos
、GuestAP
、spq
、Halink
。制限事項
Dynamic DNS、DHCP クライアント、PPPoE、および IPsec VPN ではブリッジインターフェースを使用できません。
-
設定を指定します。
Sophos Firewall トラフィックが Web プロキシフィルタリングを使用したファイアウォールルールと一致する場合、または NAT ルールと一致する場合、IP アドレスのないブリッジインターフェースに関連するトラフィックをドロップします。これらのドロップされたパケットは記録されません。NAT ルールによってトラフィックがドロップされないようにするには、次の手順を実行します。
- 「ルールとポリシー > NAT ルール」に移動し、編集する SNAT ルールを選択します。
- 「固有のアウトバウンドインターフェースに対する送信元変換をオーバーライド」を選択します。
- 「アウトバウンドインターフェース」を IP アドレスなしのブリッジインターフェースに設定します。
- 「変換後の送信元 (SNAT)」を「変換前」 に設定し、「保存」をクリックします。
-
IPv4 または IPv6 設定の詳細を指定します。ブリッジインターフェースでルーティングを選択した場合は、これらの設定を指定する必要があります。
オプション 説明 IP の割り当て IP アドレスの割り当て方法。次のオプションから選択します。
- スタティック
- DHCP
IPv4/ネットマスクまたは IPv6/プレフィックス 静的 IP 割り当ての場合は、 IP アドレスを入力し、ネットマスクまたはプレフィックスを選択します。 ゲートウェイ名 WAN ポートを持つブリッジメンバーの場合は、ゲートウェイ名を入力します。 ゲートウェイ IP 静的 IP 割り当てを選択し、 WAN ポートを持つブリッジメンバーを選択した場合は、ゲートウェイ IP アドレスを入力します。 -
ブリッジインターフェースを通過する VLAN トラフィックを転送またはドロップする「VLAN」設定を指定します。
名前 説明 VLAN のフィルタリング ブリッジインターフェースを通過する VLAN トラフィックをドロップする場合に選択します。
フィルタリングを選択し、許可された VLAN を指定しない場合、すべての VLAN からのタグ付きトラフィックをドロップします。タグなしトラフィックはドロップされません。
VLAN フィルタリングは、ブリッジドトラフィックにのみ適用されます。ルーティングされたトラフィックには適用されません。許可されている VLAN ID または ID 範囲 VLAN ID または範囲を入力します (例: 20~35)。
これを使用して、指定された VLAN から他のブリッジメンバーにトラフィックを転送します。 -
詳細設定を指定します: これを使用して、ブリッジインターフェースによって転送されるブロードキャストおよびトラフィックを制御します。
オプション 説明 ARP ブロードキャストを許可 デフォルトでは、ブリッジインターフェースは ARP (アドレス解決プロトコル) ブロードキャストを転送して、宛先 MAC アドレスを検出します。
ARP ブロードキャストを禁止するには、このチェックボックスをオフにします。ブロードキャストストームが発生した場合に使用できます。
ARP ブロードキャストがない場合、ブリッジインターフェースは MAC アドレスを持つブリッジテーブルを作成できません。IP-MAC バインディングを指定するには、「ネットワーク」に進み、「ネイバー (ARP-NDP)」を使用してスタティックエントリを作成します。スパニングツリープロトコル (STP) をオンにする STP をオンにして、ブリッジループを防止します。ブリッジループは、2つのブリッジインターフェース間に複数のパスがある場合に発生します。冗長パスを使用すると、ネットワーク内でブロードキャストストームが発生する可能性があります。
STP は、プライマリパスに障害が発生した場合に、冗長パスへのフェールオーバーを動的に有効にします。
HA が有効化されている場合、ブリッジインターフェースで STP をオンにすることはできません。STP 最大期間 ブリッジが設定情報を送信する間隔。デフォルトの間隔は 20秒です。
ブリッジは、ブリッジプロトコルデータユニット (BPDU) を送信して、STP 最大エージングインターバルで他のブリッジにインターフェース、MAC アドレス、ポートプライオリティなどの情報を送信します。これにより、ネットワークトポロジでテーブルを更新できます。BPDU は、ネットワーク内の障害パスの検出に役立ちます。MAC エイジング 非アクティブ MAC アドレスがブリッジテーブルから削除される間隔。デフォルトの間隔は 300秒です。
ブリッジは、 MAC アドレスを学習するときのタイムスタンプを記録します。間隔よりも古いタイムスタンプを持つ MAC アドレスは削除されます。
ゲスト Wi‑Fi ネットワークなどの動的ネットワークでは、MAC エージング間隔を短くすることができます。データセンターのあるネットワークなどの安定したネットワークでは、より高い間隔を使用できます。MTU MTU (最大転送ユニット) の値 (バイト)。MTU とは、ネットワークが転送可能なパケットの最大サイズです。指定された値よりも大きなパケットは、送信前に小さなパケットに分割されます。ブリッジインターフェースとそのメンバーの MTU が異なる場合、ブリッジインターフェースは小さいほうの値を継承します。継承された MTU を表示するには、インターフェーステーブルに移動します。
例:
ブリッジ MTU:9000
VLAN (ブリッジメンバー) で使用されるインターフェースの MTU:1500
継承されたブリッジ MTU は1500
になります。MSS を上書きする デフォルトの MSS 値を上書きします。
MTU は、TCP および IP ヘッダー値とペイロード値の合計です。IPsec トンネルなどで追加のパケットカプセル化が行われると、パケットサイズが定義された MTU 値より大きくなり、パケットがドロップされたり、フラグメンテーションが追加されたりする可能性があります。
指定された MSS 値を上書きすると、パケットサイズが定義された MTU 値の範囲内に収まるようになります。MSS MSS (最大セグメントサイズ) の値 (バイト)。TCP パケットで転送可能なデータ量です。 イーサネットフレームのフィルタリング デフォルト設定では、すべてのイーサネットフレームがブリッジを通過できます。
ブリッジを通過するイーサネットフレームをドロップする場合に選択します。ドロップ設定は、常に許可される ARP 、 IPv4 、 IPv6 、 8021Q 、 EXTE トラフィックのフレームには影響しません。
フィルタリングを選択しても、許可されているイーサネットフレームタイプを指定しない場合、Sophos Firewall は、常に許可されているフレームを除くすべてのイーサネットフレームのトラフィックをドロップします。転送されるイーサネットフレームのタイプ ブリッジインターフェースを介して転送するイーサネットフレームの EtherType を指定します。EtherType の 4桁の 16進数 ID を入力します。
例: AppleTalk (809B)、Novell (8138)、PPPoE (8863 および 8864)ログビューアに、ドロップされたパケットの詳細を表示するには、「システムサービス > ログ設定」に移動します。「ファイアウォール」で「ブリッジ ACL」を選択します。
ログを表示するには、「ログビューア」に移動して、「フィルタの追加」を選択します。フィールドを「ログのコンポーネント」に設定し、「値」を「ブリッジ ACL」に設定します。
また、フィールドを「ログの下位の種類」に設定し、値を「ARP ブロードキャスト」、「EtherType フィルタリング」、または「VLAN フィルタリング」に設定することもできます。
-
「保存」をクリックします。
ブリッジの設定の例を以下に示します。