2.5. ブリッジの設定

注意

UNIVERGE IX-V シリーズをクラウドで利用する場合は、ブリッジは利用できません。

通常のルータは宛先のIP/IPv6アドレス（ネットワーク層）から転送先を決定します。

ブリッジ機能を使用した場合は、宛先MACアドレス（データリンク層）から転送先を決定します。ブリッジ機能ではデータリンク層の情報を利用した機能（MACフィルタ/MACアクセスリスト等）を使用することができます。

ネットワーク層の情報は参照しませんので、ブリッジを設定したインタフェースでは、ネットワーク層の情報を利用した機能（NAT/URLオフロード/URLフィルタ等）は使用できません。

注釈

bridge ip/ipv6 filterコマンドを使用することでIPフィルタを使用することは可能です。

図 2.5.1 ネットワーク層とデータリンク層の関係

ブリッジとルータを併用する場合の動作の概要は次のようになります。

ブリッジ設定したインタフェースからのフレームはBridge Forwarderに渡され、宛先に応じて転送されます。自装置宛のフレームはBVIインタフェース（詳細は後述）という仮想インタフェースに渡されます。IP/IPv6パケットの場合は、さらにIP/IPv6 Forwarderに渡され、宛先のIP/IPv6アドレスに応じて転送されます。

図 2.5.2 ブリッジ機能使用時のブロック図

UNIVERGE IX-R/IX-V シリーズのブリッジ機能ではスパニングツリーはサポートしていませんので、パケットのループを検出できません。ループする可能性のある構成では、使用しないでください。また、ブリッジ機能はEthernetのみサポートしています。Ethernet-PPP間のブリッジはサポートしていません。

2.5.1. ブリッジの基本設定

グローバルコンフィグモード

項目	説明
bridge irb enable	ブリッジ機能（IRB）の有効化
bridge GROUP bridge ip	ブリッジプロトコルの設定（IPv4）
bridge GROUP bridge ipv6	ブリッジプロトコルの設定（IPv6）
bridge GROUP aging-time	アドレス学習テーブルのエントリ保持時間
bridge GROUP table-size	アドレス学習テーブルのテーブルサイズ

インタフェースコンフィグモード

項目

説明

bridge-group GROUP

ブリッジグループの設定

bridge-group GROUP permanent-address

学習テーブルの固定エントリの登録
表示コマンド

項目

説明

show bridge

ブリッジの学習テーブルの表示

show bridge traffic

ブリッジの統計情報の表示

2.5.1.1. トランスペアレントブリッジ

同じブリッジグループに属するインタフェース間を、MACレベルで通信します。

../_images/07_bridge3.svg — 図 2.5.3 トランスペアレントブリッジの構成

リスト 2.5.1 設定例：GigaEthernet0.0，GigaEthernet1.0でブリッジ
bridge irb enable
!
interface GigaEthernet0.0
  no ip address
  bridge-group 1
  no shutdown
!
interface GigaEthernet1.0
  no ip address
  bridge-group 1
  no shutdown

注釈

ブリッジを有効にしたインタフェースでは、通常はIP/IPv6アドレスを設定しないでください（ブルータ設定の場合を除く）。

../_images/07_bridge4.svg — 図 2.5.4 ブリッジグループの構成

リスト 2.5.2 設定例

GigaEthernet0.0とGigaEthernet2:1.0でブリッジ
GigaEthernet1.0とGigaEthernet2:2.0でブリッジ

bridge irb enable
!
device GigaEthernet2
  vlan-group 1 port 1 2
  vlan-group 2 port 3 4
!
interface GigaEthernet0.0
  no ip address
  bridge-group 1
  no shutdown
!
interface GigaEthernet1.0
  no ip address
  bridge-group 2
  no shutdown
!
interface GigaEthernet2:1.0
  no ip address
  bridge-group 1
  no shutdown
!
interface GigaEthernet2:2.0
  no ip address
  bridge-group 2
  no shutdown

注釈

ブリッジグループが異なる場合は、それぞれ独立にブリッジが構築されます。異なるブリッジグループに転送されることはありません。

2.5.1.2. ブルータの設定

インタフェースにブリッジの設定を行った場合、デフォルトではすべてのパケットをブリッジします（トランスペアレントブリッジ）。IPv4/IPv6のどちらか、あるいは両方をブリッジしない設定を行うことにより、IP/IPv6は通常とおりルーティングを行い、非IPを含むその他のパケットのみブリッジすることができます。

この場合、IP/IPv6に関しては通常のインタフェースと同様な機能を使用することが可能です。これらのプロトコルに対してはブリッジの設定がすべて無視されます。

../_images/07_bridge5.svg — 図 2.5.5 ブルータの構成

リスト 2.5.3 設定例

IPv4は通常とおりルーティング
IPv6、その他のパケットはGigaEthernet0.0、GigaEthernet1.0でブリッジ

bridge irb enable
no bridge 1 bridge ip
!
interface GigaEthernet0.0
  ip address 192.168.0.1/24
  bridge-group 1
  no shutdown
!
interface GigaEthernet1.0
  ip address 10.0.0.1/24
  bridge-group 1
  no shutdown

2.5.1.3. BVIインタフェースの設定

ブリッジを有効にした状態で、ルータにSSH等でアクセスする場合はブリッジ専用の仮想インタフェースである、BVIインタフェースを使用します。

BVIインタフェースは以下の特徴を持っています。

インタフェースは、グループ内のいずれかのインタフェースがupの時に、upします。
インタフェースの速度は、グループ内の一番遅いインタフェースの速度に設定されます。
MACアドレスは最若番ポート（GigaEthernet0）から取得します。

../_images/07_bridge6.svg — 図 2.5.6 BVIインタフェースの構成

リスト 2.5.4 設定例

GigaEthernet0.0，GigaEthernet1.0でブリッジ
BVI0を使用して、192.168.0.1宛のパケットを受信

bridge irb enable
!
interface GigaEthernet0.0
  no ip address
  bridge-group 1
  no shutdown
!
interface GigaEthernet1.0
  no ip address
  bridge-group 1
  no shutdown
!
interface BVI0
  ip address 192.168.0.1/24
  bridge-group 1
  no shutdown

注釈

BVIインタフェースでは、QoS（カラーリングは除く）の機能は使用できません。

2.5.1.4. IRB（Integrated Routing and Bridging）

IPおよびIPv6パケットに関しては、ブリッジとして使用しているインタフェースにおいても、仮想インタフェースであるBVIインタフェースを使用することにより、異なるブリッジグループ間、および、ブリッジを設定していないインタフェースとの間のルーティングを行うことができます。これにより、ブリッジグループを設定した複数のインタフェースをポートVLANのように使用することができます。

非IPパケットに関しては、異なるブリッジグループに属するインタフェースへ転送することはできません。

../_images/07_bridge7.svg — 図 2.5.7 IRBの構成

リスト 2.5.5 設定例

IPパケットをブリッジし、同時にBVIを経由してルーティングする。

ip route 10.0.1.0/24 10.0.0.2
!
bridge irb enable
!
interface GigaEthernet0.0
  no ip address
  bridge-group 1
  no shutdown
!
interface GigaEthernet1.0
  no ip address
  bridge-group 1
  no shutdown
!
interface GigaEthernet2.0
  ip address 10.0.0.1/24
  no shutdown
!
interface BVI0
  ip address 192.168.0.1/24
  bridge-group 1
  no shutdown

2.5.1.5. ポート間転送抑止機能

ブリッジ設定したインタフェース配下にある端末間の通信が不要な場合、転送抑止設定を行うことにより、設定を行ったインタフェース間において、すべてのフレームの転送を抑止することができます。

../_images/07_bridge8.svg — 図 2.5.8 ポート間転送抑止機能の構成

インタフェースコンフィグモード

項目	説明
bridge-group GROUP port-protected	インタフェース間フレーム転送抑止の設定

リスト 2.5.6 設定例

GigaEthernet1.0,GigaEtherent2.0間のパケット転送を抑止。

bridge irb enable
!
interface GigaEthernet0.0
  no ip address
  bridge-group 1
  no shutdown
!
interface GigaEthernet1.0
  no ip address
  bridge-group 1
  bridge-group 1 port-protected
  no shutdown
!
interface GigaEthernet2.0
  no ip address
  bridge-group 1
  bridge-group 1 port-protected
  no shutdown

2.5.1.6. MACアドレス学習数制限

ブリッジインタフェース毎に、学習するMACアドレスの数を制限することができます。ブリッジインタフェース毎の学習数を超えた場合は、受信したフレームを廃棄します。固定エントリは学習数には含まれません。

インタフェースコンフィグモード

項目	説明
bridge-group GROUP port-table-size	通信端末数制限設定（ポート単位）

リスト 2.5.7 設定例

GigaEthernet1.0, GigaEthernet2.0のMACアドレス学習数を1に制限。

bridge irb enable
!
interface GigaEthernet0.0
  no ip address
  bridge-group 1
  no shutdown
!
interface GigaEthernet1.0
  no ip address
  bridge-group 1
  bridge-group 1 port-table-size 1
  no shutdown
!
interface GigaEthernet2.0
  no ip address
  bridge-group 1
  bridge-group 1 port-table-size 1
  no shutdown

また、アドレス学習テーブルの設定でサイズを0に設定すると、MACアドレス学習自体を抑制することができます。この場合は受信したフレームは廃棄でなく、常にMACフレームをフラッディングする設定になります。なおSW-HUBの学習までは抑止できませんのでご注意ください。

グローバルコンフィグモード

項目

説明

bridge GROUP table-size

アドレス学習テーブルのテーブルサイズ

2.5.2. 制限事項

QoS機能には非対応です。

2.5.3. フィルタ

2.5.3.1. MACフィルタ

MACフィルタは、ブリッジ設定、ブルータ設定、およびブリッジを使用していない設定すべての場合で適用されます。すべての場合で、受信時には最初に、送信時には送信処理の直前でフィルタリングを行います。非IPパケットはMACフィルタでのみフィルタすることができます。

2.5.3.2. IP / IPv6フィルタ

ブリッジング対象パケットにIP/IPv6トラフィックフィルタを適用するには、ブリッジIP/IPv6トラフィックフィルタを使用します。

ブリッジIP/IPv6トラフィックフィルタ機能は通常のIP/IPv6トラフィックフィルタと同様に、スタティックフィルタとダイナミックフィルタが使用できます。ただし、強制リアセンブリ機能は使用できませんのでご注意ください。

トラフィックフィルタの詳細な設定の仕方はフィルタ機能の章を参照してください。コマンドの頭に”bridge”が入ることを除けば同様のイメージで設定できます。

インタフェースコンフィグモード

項目

説明

bridge ip/ipv6 filter

ブリッジIPトラフィックフィルタの設定

表示コマンド

項目	説明
show bridge ip/ipv6 filter	フィルタエントリ情報の表示
show bridge ip/ipv6 filter statistics	統計情報の表示
show bridge ip/ipv6 filter dynamic	ダイナミックフィルタキャッシュの表示

クリアコマンド

項目	説明
clear bridge ip/ipv6 filter hit-count	ヒットカウントのクリア
clear bridge ip/ipv6 filter statistics	統計情報のクリア（ヒットカウントも含めてクリアします）
clear bridge ip/ipv6 filter dynamic	ダイナミックフィルタキャッシュのクリア

ブルータ機能によりルーティング対象プロトコルに指定しているパケットにフィルタを適用する場合には、通常のIP/IPv6トラフィックフィルタを使用します。BVIインタフェースでパケットにフィルタを適用したい場合も通常のIP/IPv6トラフィックフィルタを使用します。

2.5.3.3. ブリッジの設定例

IP/IPv6パケット，非IPパケットともにブリッジを行う設定となっているインタフェースでパケットにフィルタを適用したい場合、ブリッジIPフィルタを使用します。また、MACフィルタも使用できます。

../_images/07_bridge9.svg — 図 2.5.9 ブリッジ上でのフィルタの構成

リスト 2.5.8 設定例

送信元IPアドレスでフィルタ

ip access-list acl1 permit ip src 192.168.0.12/32 dest any
!
bridge irb enable
!
interface GigaEthernet0.0
  no ip address
  bridge-group 1
  bridge ip filter acl1 100 in
  no shutdown
!
interface GigaEthernet1.0
  no ip address
  bridge-group 1
  no shutdown

リスト 2.5.9 設定例

MACアクセスリストのオフセット指定を使用して、送信元アドレスが
192.168.0.11のパケットをフィルタ
（26オクテット目[タグなしの場合]から4オクテットがc0a8000b）

access-list delete deny src any dest any offset 26 4 c0a8000b
access-list delete permit src any dest any
!
bridge irb enable
!
interface GigaEthernet0.0
  filter delete 10 in
  no ip address
  bridge-group 1
  no shutdown
!
interface GigaEthernet1.0
  no ip address
  bridge-group 1
  no shutdown

2.5.3.4. IRBの設定例

BVIを使用してルータにアクセスする場合、またIRB機能によりBVI経由でルーティングする場合は、BVIインタフェースでIPフィルタおよびMACフィルタを設定することができます。

../_images/07_bridge10.svg — 図 2.5.10 IRB上でのフィルタの構成

リスト 2.5.10 設定例

BVIインタフェースを使用して、送信元IPアドレスでフィルタ

ip access-list acl1 deny ip src 192.168.0.11/32 dest any
ip access-list acl1 permit ip src any dest any
!
bridge irb enable
!
interface GigaEthernet0.0
  no ip address
  bridge-group 1
  no shutdown
!
interface GigaEthernet1.0
  no ip address
  bridge-group 1
  no shutdown
!
interface GigaEthernet2.0
  ip address 10.0.0.1/24
  no shutdown
!
interface BVI0
  ip address 192.168.0.1/24
  ip filter acl1 10 in
  bridge-group 1
  no shutdown

2.5.4. TCP-MSS調整

ブリッジング対象パケットに対してTCP-MSS調整機能を適用可能です。これにはブリッジTCP-MSS調整機能を使用します。ブリッジTCP-MSS調整機能はEtherIPトンネルインタフェースでも設定可能です。書き換えに指定する最適なMSS値については「IPv4の設定」「IPv6の設定」のそれぞれの章の「TCP-MSS調整」の項を参照してください。

インタフェースコンフィグモード

項目	説明
bridge ip/ipv6 tcp adjust-mss	ブリッジTCP-MSS調整機能の設定

リスト 2.5.11 設定例

GigaEthernet1.0を通過するIPパケットのTCP SYNペイロード中のMSS値を1414に書き換える。

bridge irb enable
!
interface GigaEthernet0.0
  no ip address
  bridge-group 1
  no shutdown
!
interface GigaEthernet1.0
  no ip address
  bridge-group 1
  bridge ip tcp adjust-mss 1414
  no shutdown

2.5.5. VLAN

2.5.5.1. VLANタグ設定

VLANタグ付きのフレームをブリッジしたい場合、基本的にはencapsulation dot1q のインタフェースを作成して、そこにbridge-groupの設定を行います。VLANタグ番号を設定したインタフェースは、設定したタグをもつVLANフレームのみ送受信するインタフェースになります。

通常はブリッジを組んだ複数のインタフェースに同じVLANタグを設定し、VLANタグ透過ブリッジとして利用します。BVIを同じグループにすることでBVIにアクセスすることも可能です。この場合、IRB機能によりBVIを介してルーティングされますので複数のVLANを設定する場合は注意してください。

リスト 2.5.12 設定例

bridge irb enable
!
interface GigaEthernet0.1
  encapsulation dot1q 2 tpid 8100
  no ip address
  bridge-group 1
  no shutdown
!
interface GigaEthernet1.1
  encapsulation dot1q 2 tpid 8100
  no ip address
  bridge-group 1
  no shutdown

../_images/07_bridge11.svg — 図 2.5.11 VLANタグの構成

ブリッジのインタフェースに複数のVLANタグを設定すると、VLANタグを変換するブリッジになります。この場合もBVIを同じグループにすることでBVIにアクセスすることが可能です。

リスト 2.5.13 設定例

bridge irb enable
!
interface GigaEthernet0.1
  encapsulation dot1q 1 tpid 8100
  no ip address
  bridge-group 1
  no shutdown
!
interface GigaEthernet1.1
  encapsulation dot1q 5 tpid 8100
  no ip address
  bridge-group 1
  no shutdown

../_images/07_bridge12.svg — 図 2.5.12 複数のVLANタグの構成

注釈

CoS値の変更が可能です。

VLANタグ付きのポートとタグなしのポートをブリッジしたい場合、下記設定となります。これにより、L2-SWのトランクポート・アクセスポートにあたる構成を実現できます。

../_images/07_bridge13.svg — 図 2.5.13 タグ付きポートとタグなしポートのブリッジの構成

リスト 2.5.14 設定例

bridge irb enable
!
device GigaEthernet1
  vlan-group 1 port 1 2
  vlan-group 2 port 3
  vlan-group 3 port 4
!
interface GigaEthernet1:1.1
  encapsulation dot1q 10 tpid 8100
  auto-connect
  no ip address
  bridge-group 1
  no shutdown
!
interface GigaEthernet1:1.2
  encapsulation dot1q 20 tpid 8100
  auto-connect
  no ip address
  bridge-group 2
  no shutdown
!
interface GigaEthernet1:2.0
  no ip address
  bridge-group 1
  no shutdown
!
interface GigaEthernet1:3.0
  no ip address
  bridge-group 2
  no shutdown
!
interface BVI0
  ip address 192.168.10.1/24
  bridge-group 1
  no shutdown
!
interface BVI1
  ip address 192.168.20.1/24
  bridge-group 2
  no shutdown

2.5.5.2. 特殊なVLANタグ設定

VLANインタフェースで受信されなかったVLANフレームは、基本インタフェースにブリッジの設定があれば「解析できなかった不明フレーム」という扱いで、基本インタフェースのブリッジで受信されます。この性質を利用して以下の設定を行うことができます。

VLANタグ付与、VLAN2重タグ設定
VLANタグ透過設定

解析できなかった不明フレームとして扱うため、ここで設定されるVLANフレームではBVIは利用できません。そのフレームが実際はIPかIPv6かなどの情報を取得させていないためです。

2.5.5.2.1. VLANタグ付与、2重タグ設定

LAN側がVLANタグなしのパケットをWAN側に送信する際にVLANタグ付のパケットとしたい場合、また既にVLANタグ付きのパケットに、さらにVLANタグを付与したい場合は、次のように設定を行います。

該当するVLAN-IDのインタフェースがない場合には基本インタフェースでフレームを受信します。これを利用して、送信インタフェースをVLANタグのインタフェースになるように設定すると該当するVLANタグを付与することができます。VLANタグ付のパケットを受信した場合は、元のVLANタグとルータで付与するVLANタグの２つのタグが付与されます。

リスト 2.5.15 設定例

bridge irb enable
!
interface GigaEthernet0.0
  no ip address
  bridge-group 1
  no shutdown
!
interface GigaEthernet1.1
  encapsulation dot1q 5 tpid 8100
  no ip address
  bridge-group 1
  no shutdown

../_images/07_bridge14.svg — 図 2.5.14 VLANタグ付与、2重タグの構成

注釈

外側のVLANタグに対するCoS値のみ設定が可能です（上記例ではTAG=5の部分）。
内側のVLANタグに対するCoS値の変更はできません（上記例ではTAG=1の部分）。

2.5.5.2.2. VLANタグ透過設定

受信インタフェースに適切なVLANのインタフェースが設定されていない場合、これまでの説明のように基本インタフェースで受信します。ここで送信インタフェースも基本インタフェースになるようにブリッジを設定すると、すべてのVLANを透過することが出来ます。

この方法は最初のVLAN設定と同じように見えますが、1デバイスに設定できるVLANインタフェース数以上のVLANタグを透過したい場合に使用します。

bridge コマンドの tcp mss調整機能とフィルタ機能については透過設定でも動作しますが、VLANタグが２つ以上ある場合は適用できません。

リスト 2.5.16 設定例

bridge irb enable
!
interface GigaEthernet0.0
  no ip address
  bridge-group 1
  no shutdown
!
interface GigaEthernet1.0
  no ip address
  bridge-group 1
  no shutdown

../_images/07_bridge15.svg — 図 2.5.15 VLANタグ透過の構成

注釈

CoS値の変更はできません。