Fügen Sie eine Bridge-Schnittstelle hinzu
Sie können eine Bridge-Schnittstelle über physische und virtuelle Schnittstellen einrichten.
Um eine Bridge-Schnittstelle einzurichten, gehen Sie wie folgt vor:
- Gehe zu Netzwerk > Schnittstellenauf Schnittstelle hinzufügenund klicken Sie auf Brücke hinzufügen.
-
Geben Sie einen Namen ein. Sie können diesen später ändern.
Maximale Anzahl Zeichen: 58
In anderen Einstellungen wird nicht der Hardwarename, sondern der anpassbare Name der Schnittstelle angezeigt.
-
Geben Sie einen Hardwarenamen für die Schnittstelle ein. Dieser Name kann später nicht mehr geändert werden.
Maximale Anzahl Zeichen: 10
Erlaubte Zeichen: (A-Za-z0-9_)
Beschränkung
Der Hardwarename darf die folgenden systemreservierten Namen nicht enthalten:
all
,gre
,oct
,mv-pcimux0
,mvmgmt0
,pport_
,lo
,ipsec0
,tun
,ppp
,imq
,ifb
,mast
,sit
,WWAN1
,_ppp
,vxlan
,xfrm
,USB
,erspan0
,Port
,MGMT
,eth
,GE
,gretap0
,ip6tnl0
,host
,reds
,wlnet
,WLAN
,Sophos
,GuestAP
,spq
, UndHalink
.Beschränkung
Sie können Bridge-Schnittstellen nicht mit dynamischem DNS, DHCP-Clients, PPPoE und IPsec-VPN verwenden.
-
Legen Sie die Einstellungen fest.
Option Beschreibung Aktivieren Sie das Routing auf diesem Bridge-Paar Aktivieren Sie das Routing auf dieser Bridge. Wenn Sie es aktiviert haben, müssen Sie der Bridge-Schnittstelle eine IP-Adresse zuweisen. Schnittstelle Schnittstellen, auf denen Sie eine Bridge einrichten können:
- Eine physische Schnittstelle, beispielsweise Port1, PortA oder eth0.
- ROT
- VERZÖGERUNG
- VLAN-Schnittstelle auf einer physischen Schnittstelle, RED oder LAG
Zone Der Schnittstelle zugewiesene Zone. Mitgliedsschnittstellen Schnittstelle Und Zone von Bridge-Mitgliedern. Sie können physische und VLAN-Schnittstellen auswählen.
Um weitere Schnittstellen hinzuzufügen, wählen Sie Hinzufügen.
Die Sophos Firewall blockiert Datenverkehr von Bridge-Schnittstellen ohne IP-Adresse, wenn dieser einer Firewall-Regel mit Webproxy-Filterung oder einer NAT-Regel entspricht. Diese blockierten Pakete werden nicht protokolliert. Um zu verhindern, dass NAT-Regeln den Datenverkehr blockieren, gehen Sie wie folgt vor:
- Gehe zu Regeln und Richtlinien > NAT-Regeln und wählen Sie die zu bearbeitende SNAT-Regel aus.
- Wählen Überschreiben der Quellübersetzung für bestimmte ausgehende Schnittstellen.
- Satz Ausgehende Schnittstelle zur Bridge-Schnittstelle ohne IP-Adresse.
- Satz Übersetzte Quelle (SNAT) Zu Original und klicken Sie auf Speichern.
-
Geben Sie die IPv4- oder IPv6-Konfigurationsdetails an. Sie müssen diese Einstellungen angeben, wenn Sie Routing auf der Bridge-Schnittstelle ausgewählt haben.
Option Beschreibung IP-Zuweisung Methode zur Zuweisung der IP-Adresse. Wählen Sie aus den folgenden Optionen:
- Statisch
- DHCP
IPv4/Netzmaske oder IPv6/Präfix Geben Sie für die statische IP-Zuweisung die IP-Adresse ein und wählen Sie die Netzmaske oder das Präfix aus. Gateway-Name Geben Sie für Bridge-Mitglieder mit WAN-Ports den Gateway-Namen ein. Gateway-IP Wenn Sie eine statische IP-Zuweisung und Bridge-Mitglieder mit WAN-Ports ausgewählt haben, geben Sie die Gateway-IP-Adresse ein. -
Geben Sie die VLAN Einstellungen zum Weiterleiten oder Abweisen von VLAN-Verkehr, der über die Bridge-Schnittstelle läuft.
Name Beschreibung Filter-VLANs Wählen Sie diese Option aus, um den VLAN-Verkehr, der über die Bridge-Schnittstelle läuft, zu verwerfen.
Wenn Sie die Filterung aktivieren, aber die zulässigen VLANs nicht angeben, verwirft die Sophos Firewall getaggten Datenverkehr aus allen VLANs. Nicht getaggter Datenverkehr wird nicht verworfen.
Die VLAN-Filterung gilt nur für überbrückten Datenverkehr. Sie gilt nicht für gerouteten Datenverkehr.Erlaubte VLAN-ID oder ID-Bereich Geben Sie VLAN-IDs oder Bereiche ein (Beispiel: 20–35).
Verwenden Sie dies, um den Datenverkehr von den angegebenen VLANs an die anderen Bridge-Mitglieder weiterzuleiten. -
Geben Sie die erweiterten Einstellungen an: Verwenden Sie diese Option, um Übertragungen und den von der Bridge-Schnittstelle weitergeleiteten Datenverkehr zu steuern.
Option Beschreibung ARP-Broadcast zulassen Standardmäßig leiten Bridge-Schnittstellen ARP-Broadcasts (Address Resolution Protocol) weiter, um die Ziel-MAC-Adressen zu ermitteln.
Deaktivieren Sie das Kontrollkästchen, um ARP-Broadcasts zu verhindern. Sie können diese Option bei einem Broadcast-Sturm verwenden.
Ohne ARP-Broadcasts können Bridge-Schnittstellen keine Bridge-Tabelle mit MAC-Adressen erstellen. Um die IP-MAC-Bindung festzulegen, gehen Sie zu Netzwerk und erstellen Sie statische Einträge mit Nachbarn (ARP–NDP).Aktivieren Sie das Spanning Tree Protocol (STP). Aktivieren Sie STP, um Bridge-Schleifen zu vermeiden. Diese treten auf, wenn zwischen zwei Bridge-Schnittstellen mehrere Pfade vorhanden sind. Redundante Pfade können zu einem Broadcast-Sturm im Netzwerk führen.
STP ermöglicht außerdem ein dynamisches Failover auf redundante Pfade, wenn der primäre Pfad ausfällt.
Sie können STP auf keiner Bridge-Schnittstelle einschalten, wenn HA aktiviert ist.STP-Höchstalter Intervall, in dem Bridges ihre Konfigurationsinformationen übertragen. Das Standardintervall beträgt 20 Sekunden.
Bridges senden Bridge Protocol Data Units (BPDUs), um Informationen wie ihre Schnittstelle, MAC-Adresse und Portpriorität im STP-Max-Age-Intervall an andere Bridges zu übermitteln. Dadurch können sie ihre Tabellen mit der Netzwerktopologie aktualisieren. BPDUs helfen bei der Erkennung fehlerhafter Pfade im Netzwerk.MAC-Alterung Intervall, in dem inaktive MAC-Adressen aus der Bridge-Tabelle entfernt werden. Das Standardintervall beträgt 300 Sekunden.
Bridges zeichnen den Zeitstempel auf, mit dem sie eine MAC-Adresse erhalten. MAC-Adressen mit Zeitstempeln, die älter als das Intervall sind, werden entfernt.
In dynamischen Netzwerken, wie z. B. WLAN-Gastnetzwerken, können Sie kürzere MAC-Aging-Intervalle verwenden. In stabilen Netzwerken, wie z. B. Netzwerken mit Rechenzentren, können Sie längere Intervalle verwenden.PERSON MTU-Wert (Maximum Transmission Unit) in Bytes. Dies ist die größte Paketgröße, die ein Netzwerk übertragen kann. Pakete, die den angegebenen Wert überschreiten, werden vor dem Senden in kleinere Pakete aufgeteilt. Wenn die MTU der Bridge-Schnittstelle und ihrer Mitglieder unterschiedlich ist, übernimmt die Bridge-Schnittstelle den niedrigeren Wert. Die übernommene MTU finden Sie in der Schnittstellentabelle.
Beispiel:
Brücken-MAN:9000
MTU der im VLAN verwendeten Schnittstelle (Bridge-Mitglied):1500
Geerbte Bridge-MTU wird1500
.MSS überschreiben Wählen Sie diese Option, um den MSS-Wert zu überschreiben.
Die MTU ist die Summe der TCP- und IP-Headerwerte sowie des Nutzlastwerts. Bei zusätzlicher Paketkapselung, beispielsweise in IPsec-Tunneln, kann die Paketgröße den definierten MTU-Wert überschreiten, was zu Paketverlusten oder zusätzlicher Fragmentierung führen kann.
Durch das Überschreiben des angegebenen MSS-Werts wird sichergestellt, dass die Paketgröße innerhalb des definierten MTU-Werts bleibt.MSS MSS (Maximale Segmentgröße) in Bytes. Dies ist die Datenmenge, die in einem TCP-Paket übertragen werden kann. Filtern von Ethernet-Frames Die Standardeinstellung lässt zu, dass alle Ethernet-Frames die Brücke passieren.
Wählen Sie diese Option, um Ethernet-Frames zu verwerfen, die die Bridge passieren. Die Drop-Einstellung wirkt sich nicht auf Frames von ARP-, IPv4-, IPv6-, 8021Q- und EXTE-Verkehr aus, die immer zulässig sind.
Wenn Sie die Filterung auswählen, aber die zulässigen Ethernet-Frame-Typen nicht angeben, verwirft die Sophos Firewall den Datenverkehr für alle Ethernet-Frames mit Ausnahme der Frames, die immer zulässig sind.Weitergeleitete Ethernet-Frame-Typen Geben Sie die EtherTypes an, deren Ethernet-Frames Sie über die Bridge-Schnittstelle weiterleiten möchten. Geben Sie die vierstellige Hexadezimal-ID des EtherTypes ein.
Beispiel: AppleTalk (809B), Novell (8138), PPPoE (8863 und 8864)Um den Log-Viewer mit Details zu verlorenen Paketen zu aktualisieren, gehen Sie zu Systemdienste > Protokolleinstellungen. Unter Firewall, wählen Brücken-ACLs.
Um die Protokolle anzuzeigen, gehen Sie zu Protokollanzeige und wählen Sie Filter hinzufügen. Setzen Sie das Feld auf Protokollkomponente Und Wert Zu Brücken-ACLs.
Zusätzlich können Sie das Feld so einstellen, Protokolluntertyp und Wert für ARP-Übertragungen, EtherType-Filterung, oder VLAN-Filterung.
-
Klicken Speichern.
Das folgende Bild zeigt beispielhafte Bridge-Einstellungen: