10.6. Bridge

Die Bridge-Einstellungen finden Sie unter Interfaces → Zuordnen → Bridge.

Interface Configuration

Bridges sind VLAN-fähig, d.h. Sie können VLANs darauf definieren und diese Ports entweder als getagged oder als ungetagged zuweisen.

Eine VLAN-fähige Bridge funktioniert wie ein Switch.

Eine Bridge kann nur auf folgenden Interfaces konfiguriert werden:

  • Physikalische Interfaces

  • Bond

  • OpenVPN Interface

Sie können die Interfaces in einer Bridge über die Option Bearbeiten oder Hinzufügen der Bridge auswählen und ändern.

10.6.1. Neue Bridge erstellen

Um eine Bridge zwischen zwei oder mehr Interfaces zu erstellen, müssen die entsprechenden Interfaces auf ihrer Einstellungsseite aktiviert werden (siehe Interfaces konfigurieren).

Siehe auch

Um eine Brücke zwischen einer Schnittstelle und einer GRETAP-Tunnelschnittstelle zu erstellen, muss die Tunnelschnittstelle zuerst konfiguriert und aktiviert werden. Siehe Tunnel und Bridging Szenarien als Referenz.

Gehen Sie zu Interfaces → Assign → Bridge und klicken Sie auf Add, um eine neue Bridge zu erstellen und zu definieren, welche Interfaces miteinander überbrückt werden sollen.

GRETAP Bridge Creation

10.6.2. Bridge VLAN

Die Bridge muss ein Standard (non tagged) VLAN definiert haben. Die Bridge wird nicht aktiv und aktiviert, außer Sie weisen die Bridge einem Interface zu und aktivieren sie.

Sie können dann weitere VLANs definieren: entweder einzelne VLANs oder einen Bereich (z.B. 100-200). Nur definierte VLANs werden auf der Bridge weitergeleitet.

Um IP-Adressen oder Firewall-Regeln auf der Bridge zu verwenden, müssen Sie ein VLAN auf der Bridge unter VLAN erstellen und es einem Interface zuordnen.

Sie können den Verkehr nicht auf der Bridge selbst, sondern nur auf dem VLAN-Interface auf der Bridge filtern. Die Bridge führt den restlichen Verkehr automatisch durch die Firewall.

10.6.3. STP/RSTP

Interface Configuration

VT AIR unterstützt RSTP, das mit STP und MSTP arbeitet. Sie können RSTP aktivieren und auch die STP-Tree-Priorität einstellen.

Zu einem neuen Interface zuordnen ist eine Option, die angezeigt wird, wenn Sie ein neues VLAN erstellen. Dann wird das Interface automatisch zugewiesen, wie in Interfaces zuordnen beschrieben.

10.6.4. Bridge-Port-Einstellungen

Nachdem Sie die Bridge gespeichert haben, können Sie auch die Einstellungen für jeden einzelnen Bridge-Port konfigurieren.

MTU kann pro Port eingestellt werden

Geschwindigkeit und Duplex kann pro Port eingestellt werden

Aktivieren Sie Untagged VLAN, wenn Sie ein untagged VLAN auf dem Port wünschen. Sie können auch nur VLANs mit Tags versehen, indem Sie diese Option deaktivieren.

Untagged Port VLAN setzt das untagged VLAN.

Bridgevlans können individuell aktiviert werden, wenn Sie auf der Bridge definiert sind. Beachten Sie, dass Sie keine Teilmenge der definierten VLANS aktivieren können. Sie müssen jeden VLAN oder VLAN-Bereich definieren, den Sie individuell aktivieren möchten und diesen auf den entsprechenden Ports aktivieren.

10.6.5. Bridge-Port-Einstellungen STP/RSTP

Bridge Ports haben verschiedene Optionen und Einstellungen für STP.

STP Port BPDU Filter Filtert die STP BDPU Pakete an diesem Port aus und entfernt grundsätzlich alle STP Informationen, die an diesem Port ankommen

STP Port BPDU Guard BPDU Guard verhindert Schleifen, indem ein Nicht-Trunking-Port in einen errdisable Status versetzt wird

STP Port Path Costs Die Pfadkosten sind ein wichtiger Bestandteil von STP und geben den schnellsten Weg zur Root-Bridge vor. Je niedriger die Kosten, desto besser. 0 bedeutet, dass die Geschwindigkeit der Schnittstelle verwendet wird, um automatisch eine Geschwindigkeit festzulegen. Beachten Sie, dass Schnittstellen, die keine Geschwindigkeit haben, einen hohen Preis erhalten. Dies gilt auch für Tunnel und VPN-Ports. Um die Kosten eines Pfades zur Root-Bridge zu erhalten, werden die Kosten aus der empfangenen BPDU genommen und die konfigurierten Portkosten der Schnittstelle, an der die BPDU angekommen ist, zu diesen Kosten addiert. Der billigste Weg zur Root-Bridge wird als der schnellste Weg angenommen und diese Kosten werden an den nächsten Hop gesendet.

STP Port Priority Wenn die Ports die gleichen Gesamtkosten haben, wird die niedrigste Priorität bevorzugt. Erlaubt Werte von 0 - 15. Voreinstellung ist 7.

STP Restricted Root Port Wenn aktiviert, kann der Port nicht die Root-Rolle des Ports übernehmen.

STP Edge Port Ports, die direkt mit einem Endgerät verbunden sind, können keine Loop im Netzwerk erzeugen. Daher geht der Edge Port direkt in den forwarding state über und überspringt die listening und learning Phasen. Er löst auch keine Change Notifications aus, wenn er up oder down geht. Es wird empfohlen, diese Option für alle Ports zu aktivieren, die mit Endgeräten verbunden sind.

Die automatischen STP Port Path Costs werden wie folgt festgelegt

Link-Geschwindigkeit

Kosten

10 Mb/s

2000000

100 Mb/s

200000

1 Gbit/s

20000

10 Gb/s

2000

100 Gb/s

200

10.6.6. Kompatibilität Rapid-PVST/PVST+

Rapid-PVST erstellt eine RSTP-Instanz pro VLAN. Geräte mit RSTP werden nur auf dem VLAN 1 erkannt, da ihre RSTP BPDU auf dem nicht getaggten VLAN 1 gesendet wird. Der Spanning Tree wird daher nur auf VLAN 1 korrekt sein, alle anderen VLANs werden einen Spanning Tree ohne die Informationen der RSTP-Geräte haben. Dies kann leicht zu Problemen bei der Einrichtung führen, daher wird von der Verwendung von Rapid-PVST abgeraten. MSTP ist eine funktionierende Alternative für Rapid-PVST.

10.6.7. Kompatibilität MSTP

MSTP ist rückwärtskompatibel zu RSTP und erkennt BPDUs von einem RSTP-Gerät. MSTP kann auch eine RSTP-Instanz pro VLAN erstellen, aber es läuft im RSTP-Modus an jedem Port, der eine RSTP-BPDU erkennt.

10.6.8. Bridging Szenarien

Mehrere Seiten zusammenbridgen

Um ein einziges Netzwerk aus mehreren physischen Netzwerken zu erstellen, können Tunnel und Bridging verwendet werden. Erstellen Sie zunächst ein GRETAP-Tunnel-Interface wie in Tunnel beschrieben.

Erstellen Sie eine neue Brücke (wie oben beschrieben), die die lokale Schnittstelle mit der GRETAP-Tunnelschnittstelle verbindet.

Bridge example

Bemerkung

Achten Sie besonders darauf, dass keinem der ausgewählten Interfaces eine lokale IP-Adresse zugeordnet ist! Für physikalische Interfaces setzen Sie den IPvX-Typ auf None. Für das GRETAP Tunnel Interface lassen Sie die Local Tunnel IP Adresse leer.

Als nächstes erstellen Sie ein VLAN unter Schnittstellen → Assign → VLANs wie in VLAN auf der Bidge-Schnittstelle (z.B. br0) beschrieben, und weisen Sie eine ID zu.

Bridge VLAN

Geben Sie die VLAN ID Einstellungen unter Interfaces → Assign → Bridge ein.

Bridge VLAN Settings

Gehen Sie zu Interfaces → Assign und ändern Sie die Einstellungen Ihrer LAN-Schnittstelle zum VLAN auf der Schnittstelle der Bridge (z.B. br0.1 für Bridge br0 und VLAN 1). Alternativ können Sie eine neue Schnittstelle erstellen.

Konfigurieren Sie Ihr LAN/Interface mit dem gewünschten IPvX-Typ und aktivieren Sie die Schnittstelle.

Bridge Interface Assignment

Damit der Verkehr durch den Tunnel fließen kann, müssen Sie eine Reihe von Firewall-Regeln erstellen.

Wenn Ihr GRETAP-Tunnel-Interface mit der WAN-Adresse als Tunnel-Endpunkt konfiguriert wurde, gehen Sie zu Firewall → Rules → WAN und klicken Sie auf Add.

Wählen Sie GRE als Protokoll, geben Sie die öffentliche Remote-IP-Adresse Ihres GRETAP-Tunnels als Source-IP ein und wählen Sie die WAN-Adresse als Ziel.

Firewall Rules Creation

Speichern Sie die neue Firewall-Regel. Möglicherweise möchten Sie Ihren Site-to-Site-Verkehr mit einem IPsec-VPN über Ihrem GRETAP-Tunnel verschlüsseln. Siehe GRE over IPSec für weitere Einzelheiten.

Firewall Rules Overview