ブリッジインタフェース(ブリッジ機能)

概要

ブリッジインタフェースは複数のインタフェースを1つの仮想インタフェースに収容し、収容したインタフェース間でブリッジングを行う機能です。

収容された各インタフェースが接続する物理的なセグメントは1つのセグメントとして扱います。

注意事項

  • 本機能におけるブリッジ処理はワイヤレートを保証するものではありません。
  • QoS機能には対応していません。
    そのため、QoS機能を利用したDynamic Traffic Control機能を利用することはできません。
  • スパニングツリープロトコルには対応していません。
    BPDUフレームは透過します。
  • IEEE802.1Q タグ付きパケットは透過します。フィルターの精査は行われません。
    ただし、LAN分割のインタフェース(lan1.N または vlanN)をブリッジメンバーに収容した場合には、IEEE802.1Q タグ付きパケットは透過しません。
  • 本機能を利用する場合、ブリッジインタフェースを端点として利用できる機能およびファストパスにおける制限事項に記載された制限事項を確認してください。

対応機種とファームウェアリビジョン

ヤマハRTシリーズでは、以下の機種およびファームウェアで、ブリッジインタフェースをサポートしています。

機種 ファームウェア
RTX820 Rev.11.03.16以降
RTX800 Rev.10.01.20以降

用語の定義

ブリッジインタフェース機能を利用する場合、ブリッジ処理の過程において各インタフェースがどのような関係になるのかを意識する必要があります。

特に各種フィルターを適用する場合、どのインタフェースにフィルターを適用すべきなのかが重要となります。

そこで、ブリッジインタフェースを利用する上で区別が必要な用語を次のように定義します。

ブリッジインタフェース

実インタフェースを収容した仮想インタフェース。収容されたインタフェース間でブリッジ動作が行われる。

特に断りなくブリッジインタフェースと記述した場合、IP層(L3)から見たインタフェース名を表す。

収容インタフェース

ブリッジインタフェースに収容された実インタフェース。

特に断りなく収容インタフェースと記述した場合、データリンク層(L2)から見たインタフェース名を表す。

フィルターを適用するうえでは、上記の定義を踏まえてインタフェースとフィルターの関係をご覧ください。

詳細

ブリッジインタフェースを端点として利用できる機能

仮想インタフェースであるブリッジインタフェースを端点とした通信(自己宛または自己発となる通信)では次の機能に対応しています。その他の機能には対応していません。

  • IPフィルター機能

    注:
    ブリッジインタフェースにIPフィルターを適用した場合、フィルターで評価されるのは自己発または自己宛のパケットのみです。収容インタフェースにIPフィルターは適用できません。

  • DHCPクライアント
  • DNSによる名前解決(サーバー機能を除く)
  • TFTPによるファームウェア書き込み、設定ファイル読み書き
  • HTTPリビジョンアップ
  • 外部データベース参照型URLフィルターの問い合わせ
  • NTPによる時計の設定
  • SYSLOGパケットの送信(SYSLOGホストの設定)
  • メール通知
  • サーバー機能
    • HTTPサーバー(Web GUI)
    • TELNETサーバー
    • SSHサーバー

上記を除く機能はご利用頂けません。

ブリッジ機能

ブリッジ機能を使用する場合、ブリッジ動作を行いたい実インタフェースをブリッジインタフェースに収容する必要があります。

ブリッジインタフェースは仮想的なインタフェースです。ブリッジインタフェースに収容したインタフェース間でブリッジ動作が行われます。

収容したインタフェースで受信したパケットは、受信時に必要な処理(例:フィルター)が行われた後に出力先が決定され、必要であれば出力先の数だけパケットがコピーされます(ブリッジ処理)。出力先が決定したパケットは、 ポリシーフィルターで処理されたのち、決定した出力インタフェースから出力されます。

ブリッジのラーニング機能と出力インタフェースの決定

ブリッジインタフェースを設定してブリッジ機能を有効にした場合、収容したインタフェースで受信したパケットの始点MACアドレスと受信インタフェースを自動的に学習し、ラーニングテーブルに登録します。このとき、ラーニング可能な最大数に逹していた場合は、もっとも古いエントリーを削除した上で登録します。

ブリッジ処理を行うとき、受信したパケットの終点MACアドレスがラーニングテーブルに登録されたMACアドレスと一致するかを調べます。一致するエントリーが発見された場合、対応するインタフェースのみにパケットを出力します。

これにより、不要なパケットが他のインタフェースに出力されることを抑制することができます。学習したエントリーに一致するものがなかった場合には、受信インタフェースを除くすべての収容インタフェースにパケットが出力されます。

各機種におけるラーニング可能なMACアドレス数は下記の通りです。

機種 ラーニング可能な最大数
RTX820 256
RTX800

また、自動的に学習するMACアドレスとは別に、静的にMACアドレスを登録することができます。物理セグメント内に確実に存在するサーバーなどのMACアドレスを明示的に登録しておきたい場合は、静的に登録します。

各機種における静的登録可能なMACアドレス数は下記の通りです。

機種 静的登録可能な最大数
RTX820 32
RTX800

なお、自動的に学習したMACアドレスと、静的登録可能なMACアドレスは内部的に別々に管理されます。ブリッジ処理で登録内容を参照する場合は静的登録されたものが優先して参照されます。

ブリッジインタフェース

ブリッジインタフェースはIP層(L3)からひとつのインタフェースとして扱われます。よって、ブリッジインタフェースにはIPv4, IPv6アドレスを設定することができます。

各機種で利用できるブリッジインタフェース名は下記の通りです。

機種 ブリッジインタフェース名
RTX820 bridge1
RTX800

例えば、ブリッジインタフェースに192.168.100.100/24というアドレスを設定する場合、次のようにします。

# ip bridge1 address 192.168.100.100/24
# ip route default gateway 192.168.100.1

ブリッジインタフェースからインターネットへアクセスする必要がある場合(例: 外部データベース参照型URLフィルター使用時)、上記のようにインターネット側へアクセスするための経路を設定する必要があります。

インタフェースとフィルターの関係(透過型ファイアウォール)

収容インタフェースには次のフィルターを設定することができます。

  • イーサネットフィルター
  • 侵入検知(IDS)
  • 入力遮断フィルター
  • 内部・外部データベース参照型URLフィルター
  • ポリシーフィルター

一方でブリッジインタフェースには次のフィルターを設定することができます。

  • IPフィルター

収容インタフェースにフィルターを適用した場合、それらのフィルターは下図のようにブリッジングの過程で処理されます。言い換えればこれらのフィルターはデータリンク層(L2)で適用されるようになります。(処理自体はL2で行われますが、必要に応じてパケットのIPヘッダ以降をチェックします)

[透過型動作におけるフィルターの概念図]

透過型動作におけるフィルターの概念図
  • ※1 out方向(送信方向)では、侵入検知機能はポリシーフィルターの後に適用されます
  • ※2 out方向(送信方向)では、入力遮断フィルターは適用されません。in方向(受信方向)でのみ適用されます

よって、収容インタフェース単位でイーサネットフィルター、侵入検知、入力遮断フィルター、URLフィルター、ポリシーフィルターを適用することで透過型ファイアウォールとして利用することができます。

ここで、フィルターを設定するにあたっては以下の注意が必要です。

自己宛てのパケットはIP層(L3)以降の処理においては収容元のブリッジインタフェースで送受信したものとして扱われます。例えば、上図でLAN側のlan1インタフェースで受信したパケットが自己宛てのパケットだった(宛先のMACアドレスが自己のものだった)場合、IP層で受信処理された以降は受信インタフェースがbridge1であるものとして扱われます。つまり、IP層より上位でフィルターを適用したい場合には、収容インタフェース名ではなく、ブリッジインタフェース名を指定する必要があります。

ですから、IP層より上位で適用されるIPフィルターやサーバー機能に対するホストアクセス制御では、ブリッジインタフェース名を指定します。IPフィルター、ホストアクセス制御では収容インタフェースを指定しても評価されないことに注意してください。

また、収容インタフェースがスイッチングハブを持つインタフェースである場合、スイッチングハブのポート間で完結する通信にはフィルターが適用されません。

透過型ファイアウォールとして利用するときに指定可能なインタフェース名と各フィルターの関係は次の表のようになります。

  ブリッジング時に適用可能なフィルター
イーサネットフィルター
ethernet IF filter
侵入検知機能
ip IF intrusion detection
入力遮断フィルター
ip IF inbound filter
ipv6 IF inbound filter
URLフィルター
url IF filter
ポリシーフィルター
ip policy filter
ipv6 policy filter
IPフィルター
ip IF secure filter
ipv6 IF secure filter
lanX ×
pp × × × × × ×
tunnel × × × × × ×
bridgeX × × × × ×(※1) ○(※2)
  • ※1 ブリッジインタフェースで送受信するパケットはLOCAL(自己宛、自己発)に含まれます
  • ※2 ブリッジインタフェースで受信したパケット(自己宛てのパケット)はIP層においてIPフィルターが適用されます

ブリッジインタフェースを利用して透過型ファイアウォール機能を利用する場合、関連文書もご覧ください。

ブリッジ機能とファストパス

収容インタフェースで受信したパケットをブリッジングする場合、ルーターとしてファストパスに対応した機種ではブリッジングもファストパスで処理されます。

ルーターとしてファストパス動作する場合と同様に、次の条件に該当するパケットはノーマルパスで動作します。

  • 自己を端点とするパケット(ブリッジインタフェースで送受信するパケット)
  • IPv4、IPv6以外のパケット
  • IPv4、IPv6パケットのうち、次の条件に該当するパケット
    • フローの先頭のパケット
    • SYN/FIN/RSTビットがセットされたTCPパケット
    • FTPの制御セッションのパケット
    • IPv6マルチキャストパケット
    • フローテーブルが一杯になり、新たにフローテーブルに追加できないパケット

IPv4、IPv6パケットがファストパスで処理されるか否かは、ルーターの場合と同様に次のコマンドの設定に従います。

  • ip routing process コマンド
  • ipv6 routing process コマンド

ファストパスにおける制限事項

ファストパスで処理されたパケットに関しては次の制限があります。

  • pass-logフィルタにより通過したパケットのログを取ることができない
  • 侵入検知(IDS)機能が働かない

上記のいずれも、ファストパスでパケットが処理された場合だけの制限であるため、パケットがノーマルパスで処理される場合にはこれらの機能は正しく働きます。例えば、pass-logフィルタを利用していると、最初の1パケットだけはフローテーブルを作るためにノーマルパスで処理されるためログに記録されるが、その後のパケットはファストパスで処理されるため 記録されなくなるといった動作になります。

ルーター動作におけるファストパスについては関連文書をご覧ください。

SYSLOGメッセージ一覧

本機能において出力されるSYSLOGメッセージの一覧を以下に示します。なお、出力メッセージには先頭に"[ブリッジインタフェース名]"という文字列が付加されます。

レベル 出力メッセージ 意味
INFO link up ブリッジインタフェースがアップ状態になった
INFO link down ブリッジインタフェースがダウン状態になった
DEBUG suspicious learning MACアドレス
(出力インタフェース名)
MACアドレスに対応した出力インタフェースがブリッジに収容されていない

設定

コマンド

ブリッジインタフェースに収容する実インタフェースを設定する

[書式]
bridge member BRIDGE_IF INTERFACE INTERFACE [...]
no bridge member BRIDGE_IF [INTERFACE ...]
[設定値]
  • BRIDGE_IF ... ブリッジインタフェース名
  • INTERFACE ... LANインタフェース名
[説明]

仮想インタフェースであるブリッジインタフェースに収容する実インタフェースを指定する。収容したインタフェース間でブリッジ動作が行われる。

[ノート]
  • 収容するLANインタフェースについて

    収容した実インタフェースにIPv4,IPv6アドレスを付与してはならない。収容した実インタフェースのIPv6リンクローカルアドレスは削除される。

    収容するLANインタフェースのMTUはすべて同一の値でなければならない。

    いずれかのブリッジインタフェースに収容した実インタフェースは、他のブリッジインタフェースに収容することはできない。

    収容するインタフェースがスイッチングハブを持つインタフェースである場合、スイッチングハブのポート間で完結する通信は本機能によるブリッジ動作ではなく、スイッチングハブLSI内部で処理される。

  • ブリッジインタフェースについて

    ブリッジインタフェースのリンク状態は収容したLANインタフェースのリンク状態に応じて変化する。いずれかの収容したインタフェースがアップ状態だった場合、ブリッジインタフェースはアップ状態になる。すべてのインタフェースがダウン状態だった場合、ブリッジインタフェースもダウン状態になる。

    ブリッジインタフェースのMACアドレスは、収容したLANインタフェースのうち、インタフェース番号がもっとも小さいインタフェースのアドレスを使用する。

[初期値]

設定されていない。

自動的なラーニングを行うか否かの設定

[書式]
bridge learning BRIDGE_IF SWITCH
no bridge learning BRIDGE_IF [SWITCH]
[設定値]
  • BRIDGE_IF ... ブリッジインタフェース名
  • SWITCH
    • on ... ラーニングする
    • off ... ラーニングしない
[説明]

ブリッジ機能で自動的なMACアドレスのラーニングを行うか否かを設定する。 BRIDGE_IFには対象となるブリッジインタフェース名を指定する。

ラーニングを行う場合、ブリッジインタフェースに収容したインタフェースでパケットを受信すると、そのパケットの始点MACアドレスと受信インタフェースを学習してラーニングテーブルに登録する。

学習した情報はブリッジ処理が行われるときに参照され、パケットが不要なインタフェースに出力されることを抑制する。

[ノート]

学習時にラーニングテーブルが上限に逹していた場合、もっとも古いエントリーを削除した上で登録される。

ブリッジ処理においてラーニングテーブルを参照したとき、一致するエントリーが存在しなかった場合、受信インタフェースを除くすべての収容インタフェースにパケットが出力される。これはリピーターと同様の動作である。

[初期値]

on

ブリッジがラーニングした情報の消去タイマーの設定

[書式]
bridge learning BRIDGE_IF timer TIME
no bridge learning BRIDGE_IF timer [TIME]
[設定値]
  • TIME
    • 秒数(30..32767)
    • off ... タイマーを設定しない
[説明]

ブリッジが自動的にラーニングした情報の寿命を設定する。BRIDGE_IFには対象となるブリッジインタフェース名を指定する。

指定した時間内に、ある始点MACアドレスからパケットを受信しなかった場合はそのMACアドレスに関する学習した情報を消去する。

offを指定した場合には、学習した情報が自動的に消去されることはなくなる。

[初期値]

300

ブリッジがラーニングした情報のクリア

[書式]
clear bridge learning BRIDGE_IF
[設定値]

なし

[説明]

ブリッジが自動的にラーニングした情報を消去する。BRIDGE_IFには対象となるブリッジインタフェース名を指定する。

[ノート]

静的に設定した登録情報は消去されない。

ブリッジがラーニングした情報の表示

[書式]
show bridge learning BRIDGE_IF
[設定値]

なし

[説明]

ブリッジが自動的にラーニングした情報を表示する。BRIDGE_IFには対象となるブリッジインタフェース名を指定する。

静的なラーニング情報の設定

[書式]
bridge learning BRIDGE_IF static MAC_ADDRESS INTERFACE
no bridge learning BRIDGE_IF static MAC_ADDRESS [INTERFACE]
[設定値]
  • BRIDGE_IF ... ブリッジインタフェース名
  • MAC_ADDRESS ... MACアドレス
  • INTERFACE ... LANインタフェース名
[説明]

ブリッジが参照する静的な登録情報を設定する。BRIDGE_IFには対象となるブリッジインタフェース名を指定する。

MAC_ADDRESSに指定したMACアドレスが宛先であるパケットは、INTERFACEで指定したインタフェースに出力されるようになる。INTERFACEにはBRIDGE_IFに収容されたLANインタフェースを指定する。

[ノート]

静的に登録した情報は自動的に学習した情報よりも優先して参照される。

INTERFACEで指定したLANインタフェースがBRIDGE_IFに収容されていない場合、登録した情報は無視される。

[初期値]

設定されていない

ブリッジインタフェースを指定できるようになるコマンド

ブリッジインタフェースにIPv4アドレスを設定する

[書式]
ip BRIDGE_IF address IP_ADDRESS/MASK [broadcast BROADCAST_IP]
ip BRIDGE_IF address dhcp [autoip=SWITCH]
no ip BRIDGE_IF address [IP_ADDRESS/MASK [broadcast BROADCAST_IP]]
[設定値]
  • BRIDGE_IF ... ブリッジインタフェース名
  • IP_ADDRESS ... IPv4アドレス
  • MASK
    • xxx.xxx.xxx.xxx (xxxは十進数)
    • 0xに続く十六進数
    • マスクビット数
  • BROADCAST_IP ... ブロードキャストIPアドレス
  • SWITCH
    • on ... AutoIP機能を使う
    • off ... AutoIP機能を使わない
[説明]

ブリッジインタフェースのIPアドレスとネットマスクを設定する。BROADCAST_IPを指定すると、ディレクテッドブロードキャストアドレスを指定できる。

dhcpを指定すると、設定直後にDHCPクライアントとしてIPアドレスを取得する。また、dhcpを指定している場合にno ip BRIDGE_IF addressを入力すると、取得していたIPアドレスの開放メッセージをDHCPサーバに送る。

AutoIP機能を使うに設定し、ip BRIDGE_IF dhcp retry 設定でdhcpのretry回数が有限に設定してあると、dhcpでのアドレスの割り当てが失敗した場合に自動的に169.254.0.0/16のアドレスが決定される。

[初期値]

IPアドレスは設定されていない
ディレクテッドブロードキャストアドレスが使われる

ブリッジインタフェースにIPv6アドレスを設定する

[書式]
ipv6 BRIDGE_IF address IPV6_ADDRESS/PREFIX_LEN
no ipv6 BRIDGE_IF address IPV6_ADDRESS/PREFIX_LEN
[設定値]
  • BRIDGE_IF ... ブリッジインタフェース名
  • IPV6_ADDRESS ... IPv6アドレス
  • PREFIX_LEN ... プレフィックス長
[説明]

ブリッジインタフェースにIPv6アドレスを設定する。

[初期値]

設定されていない

ブリッジインタフェースに静的フィルターを設定する(IPv4)

[書式]
ip BRIDGE_IF secure filter DIRECTION [FILTER_LIST ...]
no ip BRIDGE_IF secure filter DIRECTION [FILTER_LIST ...]
[設定値]
  • BRIDGE_IF ... ブリッジインタフェース名
  • DIRECTION
    • in ... 受信したパケットのフィルタリング
    • out ... 送信するパケットのフィルタリング
  • FILTER_LIST ... フィルター番号の並び(1個~128個)
[説明]

IPv4静的フィルターをインタフェースに適用する。

FILTER_LISTにはip filterコマンドのフィルター番号を指定する。

[初期値]

設定されていない

ブリッジインタフェースに静的フィルターを設定する(IPv6)

[書式]
ipv6 BRIDGE_IF secure filter DIRECTION [FILTER_LIST ...]
no ipv6 BRIDGE_IF secure filter DIRECTION [FILTER_LIST ...]
[設定値]
  • BRIDGE_IF ... ブリッジインタフェース名
  • DIRECTION
    • in ... 受信したパケットのフィルタリング
    • out ... 送信するパケットのフィルタリング
  • FILTER_LIST ... フィルター番号の並び(1個~128個)
[説明]

IPv6静的フィルターをインタフェースに適用する。

FILTER_LISTにはipv6 filterコマンドのフィルター番号を指定する。

[初期値]

設定されていない

設定・操作例

LAN1とLAN2をブリッジする

# bridge member bridge1 lan1 lan2

ブリッジインタフェースbridge1にIPv4アドレスを設定する

# ip bridge1 address 192.168.100.1/24

ブリッジの設定を確認する

# show status bridge1
BRIDGE1
リンク状態:                     UP
ブリッジ:                       LAN1 LAN2
イーサネットアドレス:           00:a0:de:01:02:03
送信パケット:                   1 パケット(78 オクテット)
  IPv4:                         0 パケット
  IPv6:                         1 パケット
受信パケット:                   243 パケット(18912 オクテット)
  IPv4:                         16 パケット
  IPv6:                         17 パケット
非IPパケット:                   101 パケット
LAN1
説明:
イーサネットアドレス:           00:a0:de:01:02:03
動作モード設定:                 Type (Link status)
               PORT1:           Auto Negotiation (100BASE-TX Full Duplex)
               PORT2:           Auto Negotiation (Link Down)
               PORT3:           Auto Negotiation (Link Down)
               PORT4:           Auto Negotiation (Link Down)
最大パケット長(MTU):            1500 オクテット
プロミスキャスモード:           ON
送信パケット:                   856 パケット(676350 オクテット)
  IPv4(全体/ファストパス):      727 パケット / 597 パケット
  IPv6(全体/ファストパス):      11 パケット / 0 パケット
受信パケット:                   570 パケット(85036 オクテット)
  IPv4:                         553 パケット
  IPv6:                         10 パケット
LAN2
説明:
イーサネットアドレス:           00:a0:de:01:02:04
動作モード設定:                 Auto Negotiation (100BASE-TX Full Duplex)
最大パケット長(MTU):            1500 オクテット
プロミスキャスモード:           ON
送信パケット:                   571 パケット(85114 オクテット)
  IPv4(全体/ファストパス):      553 パケット / 449 パケット
  IPv6(全体/ファストパス):      11 パケット / 0 パケット
受信パケット:                   903 パケット(679446 オクテット)
  IPv4:                         727 パケット
  IPv6:                         10 パケット
#


# show bridge learning bridge1
カウント数: 4
MACアドレス            インタフェース  TTL(秒)
00:0a:de:11:03:01      LAN2            240
00:0a:de:11:02:01      LAN2            262
00:0a:de:11:01:02      LAN2            260
00:0a:de:11:01:01      LAN1            159
#

参考

ルーター型動作におけるインタフェースとフィルターの関係

透過型ファイアウォールとして利用する場合と、ルーター型ファイアウォールとして利用する場合のフィルター動作の違いを説明します。

ルーター型で動作する場合、イーサネットフィルターのみがデータリンク層(L2)で適用されるようになります。それ以外のフィルターは下図のようにIP層(L3)より上位で適用されます。

[ルーター型動作におけるフィルターの概念図]

ルーター型動作におけるフィルターの概念図
  • ※1 out方向(送信方向)では、侵入検知機能はポリシーフィルターの後に適用されます
  • ※2 out方向(送信方向)では、入力遮断フィルターは適用されません。in方向(受信方向)でのみ適用されます
  • ※3 out方向(送信方向)では、URLフィルターの前にIPフィルターが適用されます

また、自己宛てのパケットはIP層以降の処理においても受信時のインタフェースでそのまま送受信したものとして扱われます。例えば、上図でLAN側のlan1インタフェースで受信したパケットが自己宛てのパケットだった(宛先IPアドレスが自己のものだった)場合、フィルターはその受信インタフェースで適用されます。

ルーター型ファイアウォールとして利用するときに指定可能なインタフェース名と、各フィルターの関係は次の表のようになります。

  ルーティング時に適用可能なフィルター
イーサネットフィルター
ethernet IF filter
侵入検知機能
ip IF intrusion detection
入力遮断フィルター
ip IF inbound filter
ipv6 IF inbound filter
URLフィルター
url IF filter
ポリシーフィルター
ip policy filter
ipv6 policy filter
IPフィルター
ip IF secure filter
ipv6 IF secure filter
lanX
pp ×
tunnel ×
bridgeX × × × × × ×

関連文書

ページトップへ戻る