桥接口(桥接功能)

概要

桥接口是将多个接口收容在一个虚拟接口中,在收容接口间进行桥接的功能。

收容的各接口连接的物理网段作为一个网段处理。

注意事项

  • 本功能的桥接处理不能保证可以达到理论速度。
  • 不支持QoS功能。
    因此,不能使用QoS功能的Dynamic Traffic Control功能。
  • 不支持生成树协议。
    BPDU帧会穿透。
  • 附有IEEE802.1Q tag的数据包会穿透。不进行过滤的精查。
    但是,桥接成员中收容LAN分割的接口(lan1.N 或者 vlanN)时,附有IEEE802.1Q tag的数据包不会穿透。
  • 使用本功能时,请确认 可以将桥接口作为端点使用的功能fastpath中的限制事项中记载的限制事项。

支持的机型和固件版本

雅马哈RT系列中以下的机型和固件版本支持桥接口。

机型 固件
RTX820 Rev.11.03.16以后
RTX800 Rev.10.01.20以后

用语定义

使用桥接口功能时,必须意识在桥接处理的过程中各接口有着何种关系。

特别是适用各种过滤时,应该在哪个接口上适用过滤是非常重要的。

使用桥接口时必须区别的用语如下定义。

桥接口

收容实际接口的虚拟接口。在收容的接口间进行桥接。

特别是只写做桥接口时,表示IP层(L3)的接口名

收容接口

收容在桥接口中的物理接口。

特别是只写做收容接口时,表示数据链路层(L2)的接口名

适用过滤时,请根据上述的定义,阅读接口和过滤的关系

详细

可以将桥接口作为端点使用的功能

以下的功能中支持将虚拟接口的桥接口作为端点进行通信(自己接收或者自己发送的通信)。在其他的功能中不支持。

  • IP过滤功能

    注:
    在桥接口上适用IP过滤时,过滤判断的只是自己接收或者自己发送的数据包。不能对收容接口适用IP过滤。

  • DHCP客户端
  • DNS域名解析(除去服务器功能)
  • 通过TFTP写入固件,读写设置文件
  • HTTP固件升级
  • 外部数据库参考型URL过滤的问询
  • 通过NTP进行时钟的设置
  • SYSLOG数据包的发送(SYSLOG终端的设置)
  • 邮件通知
  • 服务器功能
    • HTTP服务器(Web GUI)
    • TELNET服务器
    • SSH服务器

不能使用于上述功能之外。

桥接功能

使用巧解功能时,必须将想要进行桥接运行的物理接口收容在桥接口中。

桥接口是虚拟的接口。在桥接口中的收容接口间进行桥接的功能。

收容的接口接收的数据包,接收时进行必要的处理(例:过滤)后,决定输出目的地,只复制必要的输出的数量的数据包(桥接处理)。这些数据包,进行了策略过滤的处理后,输出到决定了的输出接口。

桥接的学习功能和输出接口的决定

在设置了桥接口的桥接功能有效时,在收容的接口处接收到数据包的源MAC地址的话,会自动的学习接收接口,登录到学习列表中。这时,到达可以学习的最大数时,将先删除最早的条目后,再登录。

进行桥接处理时,会比较接收数据包的目标MAC地址和学习列表中登录的MAC地址是否一致。发现一致的条目时,会只输出到相应的接口。

因此,可以抑制将不要的数据包输出到别的接口。没有和学习列表中的条目一致的项时,向除了接收接口之外的所有收容接口输出数据包。

各机型可学习的MAC地址数如下所示。

机型 可学习的最大数
RTX820 256
RTX800

另外,和自动学习不同,还可以静态登录MAC地址。想要登录物理网络中存在的服务器等明确的MAC地址时,使用静态登录。

各机型可静态登录的MAC地址数如下所示。

机型 可静态登录的最大数
RTX820 32
RTX800

另外,自动学习的MAC地址和静态登录的MAC地址在内部被分别管理。桥接处理中会优先参考静态登录的条目。

桥接口

桥接口在IP层(L3)作为一个接口处理。因此,可以设置桥接口的IPv4, IPv6地址。

各机型可使用的桥接口名如下所示。

机型 桥接口名
RTX820 bridge1
RTX800

例如,设置桥接口的地址为192.168.100.100/24,可以如下设置。

# ip bridge1 address 192.168.100.100/24
# ip route default gateway 192.168.100.1

需要桥接口访问internet时(例: 使用外部数据库参考型URL过滤时),如上所示,需要设置访问internet的路由。

接口和过滤的关系(透明式防火墙)

可以在收容接口上设置以下的过滤。

  • 以太网过滤
  • 侵入检测(IDS)
  • 入站过滤
  • 内部・外部数据库参考型URL过滤
  • 策略过滤

可以在桥接口上设置以下的过滤。

  • IP过滤

在收容接口上适用过滤时,这些过滤如下图所示在桥接的过程中进行处理。换言之,这些过滤被适用在数据链路层(L2)。(虽然处理本身是在L2进行的,根据必要可以检查数据包的IP报头以后的部分)

[作为透明式运行时的过滤概念图]

作为透明式运行时的过滤概念图
  • ※1 out方向(发送方向)上,非法访问检测功能在策略过滤的后面适用
  • ※2 out方向(发送方向)上,不能适用入站过滤。只能在in方向(接收方向)上适用

因此,通过以收容接口为单位,适用以太网过滤、入侵检测、入站过滤、URL过滤、策略过滤,可以作为透明式防火墙使用。

设置过滤时,必须注意以下事项。

发送给自身的数据包,在IP层(L3)以上的处理,是被当做在桥接口上进行收发的处理。例如,上图中LAN侧的lan1接口上接收的数据包,是发送给自身(接收方的MAC地址是自身)时,在IP层进行了接收处理后,之后bridge1被当做接收接口进行处理。也就是说,想要在IP层的更上层适用过滤时,需要指定的不是收容接口名,而是桥接口名。

因此,在IP层的上层适用IP过滤和服务器功能中限制终端访问时,需要指定桥接口名。在IP过滤,限制终端访问中,即使指定了收容接口也不会判断,请注意。

另外,收容接口是交换式hub的接口时,不能对交换式hub的端口间的通信适用过滤。

作为透明式防火墙使用时,可指定的接口名和各过滤的关系如下表所示。

  桥接时可适用的过滤
以太网过滤
ethernet IF filter
入侵检测功能
ip IF intrusion detection
入站过滤
ip IF inbound filter
ipv6 IF inbound filter
URL过滤
url IF filter
策略过滤
ip policy filter
ipv6 policy filter
IP过滤
ip IF secure filter
ipv6 IF secure filter
lanX ×
pp × × × × × ×
tunnel × × × × × ×
bridgeX × × × × ×(※1) ○(※2)
  • ※1 桥接口上收发的数据包包含在LOCAL(自己接收、自己发送)中
  • ※2 桥接口上接收的数据包(发送给自己的数据包)适用IP层的IP过滤

使用桥接口的透明式防火墙功能时,请阅览关联文档

桥接功能和fastpath

在收容接口上接收的数据包进行桥接时,作为路由器使用支持fastpath的机型,桥接时也会用fastpath处理。

和路由器时的fastpath运行机制相同,满足以下条件的数据包会以fastpath运行。

  • 以自身为端点的数据包(在桥接口上收发的数据包)
  • IPv4、IPv6以外的数据包
  • IPv4、IPv6数据包中,满足以下条件的数据包
    • flow的先头数据包
    • 设置了SYN/FIN/RST位的TCP数据包
    • FTP的控制会话的数据包
    • IPv6组播数据包
    • flow表已经满了,无法在flow表中增加的新的数据包

IPv4、IPv6数据包是否用fastpath处理,和路由器时相同,遵从如下命令的设置。

  • ip routing process 命令
  • ipv6 routing process 命令

fastpath中的限制事项

用fastpath处理的数据包有以下的限制。

  • 无法取得由pass-log过滤而通过的数据包的log
  • 入侵检测(IDS)功能无法运行

上述的任一项只是在fastpath处理数据包时有限制,数据包以normal path处理时,可以正常运作。例如,使用pass-log过滤时,最初的1个数据包需要生成flow表而使用normal path进行处理,记录了log,而之后的数据包使用fastpath处理,所以不记录log了。

关于以路由器运行时的fastpath的运行,请阅读关联文档

SYSLOG信息一览

本功能输出的SYSLOG信息的一览如下所示。而且,在输出的信息前会附件上"[桥接口名]"的字符串。

级别 输出信息 含义
INFO link up 桥接口变为up状态
INFO link down 桥接口变为down状态
DEBUG suspicious learning MAC地址(输出接口名) 对应MAC地址的输出接口不被桥收容

设置

命令

设置在桥接口中收容的实际接口

[格式]
bridge member BRIDGE_IF INTERFACE INTERFACE [...]
no bridge member BRIDGE_IF [INTERFACE ...]
[设置值]
  • BRIDGE_IF ... 桥接口名
  • INTERFACE ... LAN接口名
[说明]

指定虚拟接口的桥接口收容的实际接口。在收容的接口之间进行桥接运行。

[Note]
  • 关于收容的LAN接口

    收容后的接口没有IPv4,IPv6地址。收容后的实际接口的IPv6链路本地地址将被删除。

    收容的LAN接口的MTU必须设置为同一值。

    收容于任一桥接口的实际接口,不能被其他的桥接口收容。

    收容的接口是交换式hub时,交换式hub的端口间的通信不是由本功能的桥接运行,而是由交换式hub的LSI内部进行处理。

  • 关于桥接口

    桥接口的link状态会根据收容的LAN接口的link状态而变化。任一收容接口为up状态时,桥接口为up状态。所有的接口为down状态时,桥接口为down状态。

    桥接口的MAC地址使用收容的LAN接口中,接口号最小的接口的地址。

[默认值]

不设置。

是否进行自动的学习的设置

[格式]
bridge learning BRIDGE_IF SWITCH
no bridge learning BRIDGE_IF [SWITCH]
[设置值]
  • BRIDGE_IF ... 桥接口名
  • SWITCH
    • on ... 学习
    • off ... 不学习
[说明]

设置在桥接功能中是否进行MAC地址的自动学习。BRIDGE_IF指定桥接口名。

进行学习时,收容于桥接口的接口中接收到数据包时,将学习那个数据包的源MAC地址和接收接口兵登录在学习列表中。

在进行桥接处理时参考学习的信息,可以抑制将数据包发送到非必要的接口上。

[Note]

学习时如果学习列表已经到达上限时,将在删除最早的条目后再登录。

在进行桥接处理时参考学习的信息时,不存在相一致的条目时,将发送到除接收接口以外的所有收容接口中。和repeater的运行相同。

[默认值]

on

桥删除学习信息的计时器的设置

[格式]
bridge learning BRIDGE_IF timer TIME
no bridge learning BRIDGE_IF timer [TIME]
[设置值]
  • TIME
    • 秒数(30..32767)
    • off ... 不设置计时器
[说明]

设置桥自动学习的信息的寿命。BRIDGE_IF指定桥接口名。

在指定的时间内,没有从某源MAC地址处接收到数据包时,将删除该MAC地址相关的学习信息。

指定为off时,将不会自动的删除学习信息。

[默认值]

300

学习信息的清除

[格式]
clear bridge learning BRIDGE_IF
[设置值]

[说明]

清除桥自动学习的信息。BRIDGE_IF指定桥接口名。

[Note]

不会清除静态设置的登录信息。

显示学习的信息

[格式]
show bridge learning BRIDGE_IF
[设置值]

[说明]

显示桥自动学习的信息。BRIDGE_IF指定桥接口名。

设置静态学习信息

[格式]
bridge learning BRIDGE_IF static MAC_ADDRESS INTERFACE
no bridge learning BRIDGE_IF static MAC_ADDRESS [INTERFACE]
[设置值]
  • BRIDGE_IF ... 桥接口名
  • MAC_ADDRESS ... MAC地址
  • INTERFACE ... LAN接口名
[说明]

设置静态登录信息。BRIDGE_IF指定桥接口名。

MAC_ADDRESS指定的MAC地址为接收方时的数据包,可以从INTERFACE指定的接口输出。INTERFACE为BRIDGE_IF中收容的LAN接口。

[Note]

静态登录的信息比自动学习的信息优先级更高。

INTERFACE指定的LAN接口没有被BRIDGE_IF收容时,将无视登录的信息。

[默认值]

没有设置

可以指定桥接口的命令

桥接口的IPv4地址的设置

[格式]
ip BRIDGE_IF address IP_ADDRESS/MASK [broadcast BROADCAST_IP]
ip BRIDGE_IF address dhcp [autoip=SWITCH]
no ip BRIDGE_IF address [IP_ADDRESS/MASK [broadcast BROADCAST_IP]]
[设置值]
  • BRIDGE_IF ... 桥接口名
  • IP_ADDRESS ... IPv4地址
  • MASK
    • xxx.xxx.xxx.xxx (xxx为十进制数)
    • 0x接十六进制数
    • 掩码位数
  • BROADCAST_IP ... 组播IP地址
  • SWITCH
    • on ... 使用AutoIP功能
    • off ... 不使用AutoIP功能
[说明]

设置桥接口的IP地址和子网掩码。指定BROADCAST_IP的话,可以设置Directed Broadcast Address。

指定为dhcp时,设置后将作为DHCP客户端获得IP地址。另外,指定为dhcp时,输入no ip BRIDGE_IF address的话,会向DHCP服务器发送开放这个获得的IP地址的信息。

使用AutoIP功能进行设置,到达了ip BRIDGE_IF dhcp retry设置的dhcp的retry次数时,由dhcp分配地址失败时,自动的设置为169.254.0.0/16的地址。

[默认值]

没有设置IP地址
使用Directed Broadcast Address

桥接口的IPv6地址的设置

[格式]
ipv6 BRIDGE_IF address IPV6_ADDRESS/PREFIX_LEN
no ipv6 BRIDGE_IF address IPV6_ADDRESS/PREFIX_LEN
[设置值]
  • BRIDGE_IF ... 桥接口名
  • IPV6_ADDRESS ... IPv6地址
  • PREFIX_LEN ... 前缀长
[说明]

设置桥接口的IPv6地址。

[默认值]

没有设置

设置桥接口的静态过滤(IPv4)

[格式]
ip BRIDGE_IF secure filter DIRECTION [FILTER_LIST ...]
no ip BRIDGE_IF secure filter DIRECTION [FILTER_LIST ...]
[设置值]
  • BRIDGE_IF ... 桥接口名
  • DIRECTION
    • in ... 接收数据包的过滤
    • out ... 发送数据包的过滤
  • FILTER_LIST ... 过滤编号的排列(1个~128个)
[说明]

在接口上应用IPv4静态过滤。

FILTER_LIST中指定的是用ip filter命令设置的过滤编号。

[默认值]

没有设置

设置桥接口的静态过滤(IPv6)

[格式]
ipv6 BRIDGE_IF secure filter DIRECTION [FILTER_LIST ...]
no ipv6 BRIDGE_IF secure filter DIRECTION [FILTER_LIST ...]
[设置值]
  • BRIDGE_IF ... 桥接口名
  • DIRECTION
    • in ... 接收数据包的过滤
    • out ... 发送数据包的过滤
  • FILTER_LIST ... 过滤编号的排列(1个~128个)
[说明]

在接口上应用IPv6静态过滤。

FILTER_LIST中指定的是用ipv6 filter命令设置的过滤编号。

[默认值]

没有设置

设置・操作例

LAN1和LAN2桥接

# bridge member bridge1 lan1 lan2

设置桥接口bridge1的IPv4地址

# ip bridge1 address 192.168.100.1/24

确认桥的设置

# show status bridge1
BRIDGE1
link status:                    UP
BRIDGE:	                        LAN1 LAN2
Ethernet Address:               00:a0:de:01:02:03
Transmitted:                    1 packets (78 octets)
  IPv4:                         0 packets
  IPv6:                         1 packets
Received:                       243 packets(18912 octets)
  IPv4:                         16 packets
  IPv6:                         17 packets
No IP Packets:                  101 packets
LAN1
Description:
Ethernet Address:               00:a0:de:01:02:03
Operation mode setting:         Type (Link status)
               PORT1:           Auto Negotiation (100BASE-TX Full Duplex)
               PORT2:           Auto Negotiation (Link Down)
               PORT3:           Auto Negotiation (Link Down)
               PORT4:           Auto Negotiation (Link Down)
Maximum Transmission Unit(MTU): 1500 octets
Promiscuous mode:               ON
Transmitted:                    856 packets(676350 octets)
  IPv4(all/fastpath):	        727 packets / 597 packets
  IPv6(all/fastpath):	        11 packets / 0 packets
Received:                       570 packets(85036 octets)
  IPv4:                         553 packets
  IPv6:                         10 packets
LAN2
Description:
Ethernet Address:               00:a0:de:01:02:04
Operation mode setting:         Auto Negotiation (100BASE-TX Full Duplex)
Maximum Transmission Unit(MTU): 1500 octets
Promiscuous mode:               ON
Transmitted:                    571 packets(85114 octets)
  IPv4(all/fastpath):           553 packets / 449 packets
  IPv6(all/fastpath):           11 packets / 0 packets
Received:                       903 packets(679446 octets)
  IPv4:                         727 packets
  IPv6:                         10 packets
#


# show bridge learning bridge1
Count: 4
MAC ADDRESS           INTERFACE      TTL(秒)
00:0a:de:11:03:01      LAN2            240
00:0a:de:11:02:01      LAN2            262
00:0a:de:11:01:02      LAN2            260
00:0a:de:11:01:01      LAN1            159
#

参考

路由式时过滤和运行其接口的关系

说明作为透明式防火墙使用时,和路由式防火墙使用时的过滤动作的不同。

路由式时,只有以太网过滤是适用于数据链路层(L2)的。除此之外的过滤全都如下所示适用于IP层(L3)及上层。

[作为路由式运行时的过滤的概念图]

作为路由式运行时的过滤的概念图
  • ※1 在out方向(发送方向)上,入侵检测功能在策略过滤之后适用
  • ※2 在out方向(发送方向)上,不能适用入站过滤。只能适用在in方向(接收方向)
  • ※3 在out方向(发送方向)上,在URL过滤之前适用IP过滤

另外,发送给自身的数据包,即使是IP层之后的处理,也保持原样,当做在接收的接口上进行处理。例如,上图中LAN侧的lan1接口上接收的数据包,是发送给自身的数据包(发送目的IP地址是自身)时,过滤适用于该接收接口上。

作为路由式防火墙使用时,可指定的接口名和各过滤之间的关系如下表所示。

  路由时可适用的过滤
以太网过滤
ethernet IF filter
入侵检测功能
ip IF intrusion detection
入站过滤
ip IF inbound filter
ipv6 IF inbound filter
URL过滤
url IF filter
策略过滤
ip policy filter
ipv6 policy filter
IP过滤
ip IF secure filter
ipv6 IF secure filter
lanX
pp ×
tunnel ×
bridgeX × × × × × ×

关联文档

返回顶部Return to Top