Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=network-interfaces-bridges-add

Füge eine Brückenschnittstelle hinzu.

Sie können eine Brückenschnittstelle über physische und virtuelle Schnittstellen einrichten.

Um eine Brückenschnittstelle einzurichten, gehen Sie wie folgt vor:

  1. Gehe zu Netzwerk > Schnittstellen, klicken Schnittstelle hinzufügen: und klicken Sie Brücke hinzufügen.

  2. Geben Sie einen Namen ein. Sie können diesen später ändern.

    Maximale Zeichenanzahl: 58

    In anderen Einstellungen wird der anpassbare Name der Benutzeroberfläche anstelle des Hardwarenamens angezeigt.

  3. Geben Sie einen Hardwarenamen für die Schnittstelle ein. Dieser Name kann später nicht mehr geändert werden.

    Maximale Zeichenanzahl: 10

    Zulässige Zeichen: (A-Za-z0-9_)

    Beschränkung

    Der Hardwarename darf die folgenden systemreservierten Namen nicht enthalten: all, gre, oct, mv-pcimux0, mvmgmt0, pport_, lo, ipsec0, tun, ppp, imq, ifb, mast, sit, WWAN1, _ppp, vxlan, xfrm, USB, erspan0, Port, MGMT, eth, GE, gretap0, ip6tnl0, host, reds, wlnet, WLAN, Sophos, GuestAP, spq, Und Halink.

    Beschränkung

    Bridge-Schnittstellen können nicht mit Dynamic DNS, DHCP-Clients, PPPoE und IPsec-VPN verwendet werden.

  4. Legen Sie die Einstellungen fest.

    Option Beschreibung
    Routing auf diesem Bridgepaar aktivieren Aktivieren Sie das Routing auf dieser Bridge. Wenn Sie es aktiviert haben, müssen Sie der Bridge-Schnittstelle eine IP-Adresse zuweisen.
    Schnittstelle

    Schnittstellen, über die Sie eine Brücke einrichten können:

    • Eine physische Schnittstelle, zum Beispiel Port1, PortA oder eth0.
    • ROT
    • VERZÖGERUNG
    • VLAN-Schnittstelle auf einer physischen Schnittstelle, RED oder LAG
    Eine Bridge kann maximal 64 Mitgliedsschnittstellen haben.
    Zone Der Schnittstelle zugewiesene Zone.
    Mitgliederschnittstellen Schnittstelle Und Zone von Brückenmitgliedern. Sie können physische und VLAN-Schnittstellen auswählen.

    Um weitere Schnittstellen hinzuzufügen, wählen Sie „Hinzufügen“. Add button..

    Die Sophos Firewall verwirft Datenverkehr von Bridge-Schnittstellen ohne IP-Adresse, wenn dieser einer Firewall-Regel mit Web-Proxy-Filterung oder einer NAT-Regel entspricht. Diese verworfenen Pakete werden nicht protokolliert. Um zu verhindern, dass NAT-Regeln den Datenverkehr blockieren, gehen Sie wie folgt vor:

    1. Gehe zu Regeln und Richtlinien > NAT-Regeln und wählen Sie die zu bearbeitende SNAT-Regel aus.
    2. Wählen Quelltextübersetzung für bestimmte ausgehende Schnittstellen überschreiben.
    3. Satz Ausgehende Schnittstelle zur Brückenschnittstelle ohne IP-Adresse.
    4. Satz Übersetzter Quelltext (SNAT) Zu Original und klicken Speichern.

  5. Geben Sie die Konfigurationsdetails für IPv4 oder IPv6 an. Diese Einstellungen müssen Sie angeben, wenn Sie Routing auf der Bridge-Schnittstelle ausgewählt haben.

    Option Beschreibung
    IP-Zuweisung

    Methode zur Zuweisung der IP-Adresse. Wählen Sie aus den folgenden Optionen:

    • Statisch
    • DHCP
    IPv4/Netzmaske oder IPv6/Präfix Für die Zuweisung einer statischen IP-Adresse geben Sie die IP-Adresse ein und wählen Sie die Netzmaske oder das Präfix aus.
    Gateway-Name Geben Sie für Bridge-Mitglieder mit WAN-Ports den Gateway-Namen ein.
    Gateway-IP Wenn Sie die statische IP-Zuweisung und Bridge-Mitglieder mit WAN-Ports ausgewählt haben, geben Sie die Gateway-IP-Adresse ein.

  6. Geben Sie die VLAN Einstellungen zum Weiterleiten oder Verwerfen von VLAN-Datenverkehr, der die Bridge-Schnittstelle passiert.

    Name Beschreibung
    VLANs filtern Diese Option soll den VLAN-Datenverkehr, der über die Bridge-Schnittstelle geleitet wird, verwerfen.

    Wenn Sie die Filterung auswählen, aber keine zulässigen VLANs angeben, verwirft die Sophos Firewall getaggten Datenverkehr aus allen VLANs. Ungetaggter Datenverkehr wird nicht verworfen.

    Die VLAN-Filterung gilt nur für gebrückten Datenverkehr. Sie gilt nicht für gerouteten Datenverkehr.
    Zulässige VLAN-ID oder ID-Bereich Geben Sie VLAN-IDs oder -Bereiche ein (Beispiel: 20-35).

    Verwenden Sie diese Funktion, um den Datenverkehr von den angegebenen VLANs an die anderen Bridge-Mitglieder weiterzuleiten.

  7. Legen Sie die erweiterten Einstellungen fest: Verwenden Sie diese Option, um Broadcasts und den über die Bridge-Schnittstelle weitergeleiteten Datenverkehr zu steuern.

    Option Beschreibung
    ARP-Übertragung zulassen Standardmäßig leiten Bridge-Schnittstellen ARP-Broadcasts (Address Resolution Protocol) weiter, um die Ziel-MAC-Adressen zu ermitteln.

    Deaktivieren Sie das Kontrollkästchen, um ARP-Broadcasts zu unterbinden. Dies ist hilfreich bei einem Broadcast-Sturm.

    Fehlen ARP-Broadcasts, können Bridge-Schnittstellen keine Bridge-Tabelle mit MAC-Adressen erstellen. Um die IP-MAC-Bindung festzulegen, gehen Sie zu Netzwerk und erstellen Sie statische Einträge mit Nachbarn (ARP–NDP).
    Spanning Tree Protocol (STP) aktivieren Aktivieren Sie STP, um Bridge-Schleifen zu verhindern, die auftreten, wenn mehr als ein Pfad zwischen zwei Bridge-Schnittstellen existiert. Redundante Pfade können zu einem Broadcast-Sturm im Netzwerk führen.

    STP ermöglicht außerdem ein dynamisches Failover auf redundante Pfade, wenn der primäre Pfad ausfällt.

    STP kann auf keiner Bridge-Schnittstelle aktiviert werden, wenn HA aktiviert ist.
    STP-Maximalalter Intervall, in dem die Bridges ihre Konfigurationsinformationen übertragen. Das Standardintervall beträgt 20 Sekunden.

    Bridges senden Bridge Protocol Data Units (BPDUs) im STP-Max-Age-Intervall an andere Bridges, um Informationen wie ihre Schnittstelle, MAC-Adresse und Portpriorität zu übermitteln. Dadurch können sie ihre Tabellen mit der Netzwerktopologie aktualisieren. BPDUs helfen, ausgefallene Pfade im Netzwerk zu erkennen.
    MAC-Alterung Intervall, in dem inaktive MAC-Adressen aus der Bridge-Tabelle entfernt werden. Das Standardintervall beträgt 300 Sekunden.

    Bridges speichern den Zeitstempel, zu dem sie eine MAC-Adresse lernen. MAC-Adressen mit Zeitstempeln, die älter als das Intervall sind, werden entfernt.

    In dynamischen Netzwerken, wie z. B. Gast-WLANs, können Sie niedrigere MAC-Aging-Intervalle verwenden. In stabilen Netzwerken, wie z. B. in Rechenzentren, können Sie höhere Intervalle verwenden.
    PERSON Der MTU-Wert (Maximum Transmission Unit) wird in Byte angegeben. Er bezeichnet die maximale Paketgröße, die ein Netzwerk übertragen kann. Pakete, die größer als der angegebene Wert sind, werden vor dem Versand in kleinere Pakete aufgeteilt. Wenn sich die MTU der Bridge-Schnittstelle und ihrer Mitglieder unterscheidet, übernimmt die Bridge-Schnittstelle den niedrigeren Wert. Die übernommene MTU finden Sie in der Schnittstellentabelle.

    Beispiel:

    Brückenmann: 9000

    MTU der im VLAN verwendeten Schnittstelle (Bridge-Mitglied): 1500

    Die geerbte Bridge-MTU wird 1500.
    MSS überschreiben Wählen Sie diese Option, um den MSS-Wert zu überschreiben.

    Die MTU (Maximum Transmission Unit) ist die Summe der Werte im TCP- und IP-Header sowie im Nutzdatenwert. Bei zusätzlicher Paketkapselung, beispielsweise in IPsec-Tunneln, kann die Paketgröße den definierten MTU-Wert überschreiten, was zu Paketverlusten oder zusätzlicher Fragmentierung führen kann.

    Durch das Überschreiben des angegebenen MSS-Wertes wird sichergestellt, dass die Paketgröße innerhalb des definierten MTU-Wertes bleibt.
    MSS MSS (Maximale Segmentgröße) in Byte. Es handelt sich um die Datenmenge, die in einem TCP-Paket übertragen werden kann.
    Ethernet-Frames filtern Die Standardeinstellung erlaubt es, dass alle Ethernet-Frames die Bridge passieren.

    Wählen Sie diese Option, um Ethernet-Frames am Durchgang durch die Bridge zu hindern. Diese Einstellung hat keine Auswirkungen auf ARP-, IPv4-, IPv6-, 8021Q- und EXTE-Datenverkehr; diese werden immer zugelassen.

    Wenn Sie die Filterung auswählen, aber die zulässigen Ethernet-Frame-Typen nicht angeben, verwirft die Sophos Firewall den Datenverkehr für alle Ethernet-Frames außer den Frames, die immer zulässig sind.
    Weitergeleitete Ethernet-Frame-Typen Geben Sie die EtherTypes an, deren Ethernet-Frames über die Bridge-Schnittstelle weitergeleitet werden sollen. Geben Sie die vierstellige hexadezimale ID des EtherType ein.

    Beispiel: AppleTalk (809B), Novell (8138), PPPoE (8863 und 8864)

    Um den Log-Viewer mit Details zu verworfenen Paketen zu aktualisieren, gehen Sie zu Systemdienste > Protokolleinstellungen. Unter Firewall, wählen Brücken-ACLs.

    Um die Protokolle einzusehen, gehen Sie zu Protokollanzeige und auswählen Filter hinzufügen: Setzen Sie das Feld auf Protokollkomponente Und Wert Zu Brücken-ACLs.

    Zusätzlich können Sie das Feld auf Folgendes einstellen: Log-Subtyp und Wert für ARP-Übertragungen, EtherType-Filterung, oder VLAN-Filterung.

  8. Klicken Speichern.

Das folgende Bild zeigt beispielhafte Bridge-Einstellungen:

Example bridge settings.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen