SonicOS 7 システム --- TZ シリーズ用
Table of Contents
L2 ブリッジ モードとトランスペアレント モードの比較
| 項目 | レイヤ 2 ブリッジ モード | トランスペアレント モード |
|---|---|---|
| 動作のレイヤ | レイヤ 2 (MAC) | レイヤ 3 (IP) |
| ARP 動作 | ARP (Address Resolution Protocol) の情報は変更されません。MAC アドレスはそのままの形で L2 ブリッジを通過します。SonicWall セキュリティ装置の MAC アドレスを宛先とするパケットは処理され、それ以外のパケットは通過します。送信元と送信先が学習されてキャッシュされます。 | ARP は、トランスペアレント モードで動作するインターフェースによってプロキシされます。 |
| パスの決定 | ブリッジ ペアのいずれかの側のホストが、動的に学習されます。インターフェースの関連付けを宣言する必要はありません。 | プライマリ WANインターフェースは、常にトランスペアレント モード トラフィックおよびサブネット空間決定のマスター受信/送信ポイントになります。このサブネット空間を透過的に共有するホストは、アドレス オブジェクトの割り当てを使用して明示的に宣言されている必要があります。 |
| 最大インターフェース数 |
2 つ (プライマリ ブリッジ インターフェースおよびセカンダリ ブリッジ インターフェース)。 |
複数のインターフェース。マスター インターフェースは常にプライマリ WANになります。利用可能なインターフェースさえあれば、従属トランスペアレント インターフェースの数に制限はありません。 |
| 最大ペア数 | 最大数ブリッジ ペア数は、利用可能な物理インターフェース数に依存します。これは、"複数の 1 対 1 ペアリング" と考えることができます。 | トランスペアレント モードでは、複数のインターフェースが同時にプライマリ WANに対するトランスペアレント パートナーとして動作することはできますが、これは単にプライマリWANのサブネットを他のインターフェースにスパニングしているに過ぎません。これは、"単一の 1 対 1 ペアリング" または "単一の 1 対多ペアリング" と考えることができます。 |
| ゾーンの制限 | プライマリ ブリッジ インターフェースは、非保護、保護、パブリックのいずれかになります。セカンダリ ブリッジ インターフェースは、保護またはパブリックのいずれかになります。 | トラ���スペアレント モード ペアのインターフェースは、1 つの非保護インターフェース (ペアのサブネットのマスターとしてのプライマリ WAN) と、1 つ以上の保護/パブリック インターフェース (LAN または DMZ など) で構成されている必要があります。 |
| サポートされるサブネット数 | 任意の数のサブネットがサポートされます。サブネットへのトラフィックまたはサブネットからのトラフィックは、アクセス ルールを作成することによって制御できます。 | 既定の設定では、トランスペアレント モードでサポートされるサブネット数は 1 つだけです (つまり、プライマリ WANに割り当てられ、プライマリ WANからスパニングされるサブネット)。ARP エントリおよびルートを使用して、サブネットを手動で追加することはできます。 |
| 非 IPv4 トラフィック |
既定では、セカンダリ ブリッジ インターフェースの設定ページで無効にされていない限り、すべての非 IPv4 トラフィックが、ブリッジ ペア インターフェースからそのブリッジ パートナー インターフェースへとブリッジされます。これには、IPv6 トラフィック、STP (Spanning Tree Protocol)、および識別不能の IP タイプも含まれます。 |
トランスペアレント モードでは非 IPv4 トラフィックは処理されません。 破棄されてログに記録されます。 |
| VLAN トラフィック | VLAN トラフィックは L2 ブリッジを介して渡され、ステートフル精密パケット検査エンジンによって完全に検査されます。 | VLAN サブインターフェースを作成し、トランスペアレント モード アドレス オブジェクトを割り当てることはできますが、VLAN はそのまま通過するのではなく、セキュリティ装置で終端されます。 |
| VLAN サブインターフェース | ブリッジ ペア インターフェース上で VLAN サブインターフェースを作成することはできます。ただし、VLAN フレーム内の送信先 IP アドレスが、装置上の VLAN サブインターフェースの IP アドレスと一致しない限り、VLAN サブインターフェースは、ブリッジを介してブリッジ パートナーへと渡されます。両者のアドレスが一致した場合は (例えば、管理トラフィックとして) 処理されます。 | トランスペアレント モードで動作する物理インターフェースに VLAN サブインターフェースを割り当てることはできますが、動作モードはその親に依存しません。これらの VLAN サブインターフェースに、トランスペアレント モード アドレス オブジェクトを割り当てることもできますが、VLAN サブインターフェースはそのまま通過するのではなく終端されます。 |
| 動的アドレッシング | プライマリ ブリッジ インターフェースを WANゾーンに割り当てることはできますが、プライマリ ブリッジ インターフェースに対しては静的アドレッシングしか行えません。 | トランスペアレント モードでは、プライマリWANがマスター インターフェースとして使用されますが、トランスペアレント モードでは静的アドレッシングしか許可されません。 |
| VPN サポート | ルート設定を 1 つ追加することで VPN 動作がサポートされます。詳細については、「レイヤ 2 ブリッジ モードでの VPN 統合」を参照してください。 | VPN 動作がサポートされます。 特別な設定要件はありません。 |
| DHCP サポート | DHCP はブリッジ ペアを通過できます。 | トランスペアレント モードで動作するインターフェースは、DHCP サービスを提供するか、IP ヘルパーを使って DHCP を通過させることができます。 |
| ルーティングと NAT | L2 ブリッジ ペアと他のパス間のトラフィックはインテリジェントにルーティングされます。既定では、ブリッジ ペア インターフェースからブリッジ パートナーへのトラフィックは NAT 変換されませんが、他のパスへのトラフィックを必要に応じて NAT 変換することもできます。必要に応じて独自のルートおよび NAT ポリシーを追加できます。 | 他のパスとの間のトラフィックはインテリジェントにルーティングされます。既定では、WAN とトランスペアレント モード インターフェース間のトラフィックは NAT 変換されませんが、他のパスへのトラフィックを必要に応じて NAT 変換することもできます。必要に応じて独自のルートおよび NAT ポリシーを追加できます。 |
| ステートフル パケット検査 | ファイアウォールの VLAN トラフィックなど、L2 ブリッジを通過するすべてのサブネットのすべての IPv4 トラフィックには、完全なステートフル パケット検査が適用されます。 | トランスペアレント モード アドレス オブジェクトの割り当てによって定義されたサブネットへのトラフィックおよびサブネットからのトラフィックには、完全なステートフル パケット検査が適用されます。 |
| セキュリティ サービス | すべてのセキュリティ サービス (GAV、IPS、アンチスパイウェア、CFS) が完全にサポートされます。これには、標準的な IP トラフィックと 802.1Q カプセル化 VLAN トラフィックがすべて含まれます。 | トランスペアレント モード アドレス オブジェクトの割り当てによって定義されたサブネットとの間で、すべてのセキュリティ サービス (GAV、IPS、アンチスパイウェア、CFS) が完全にサポートされます。 |
| ブロードキャスト トラフィック | ブロードキャスト トラフィックは、受信したブリッジ ペア インターフェースからブリッジ パートナー インターフェースへと渡されます。 | ブロードキャスト トラフィックは破棄されてログに記録されます。 ただし、NetBIOS については、IP ヘルパーによって処理される場合があります。 |
| マルチキャスト トラフィック | 「ネットワーク | システム > マルチキャスト」でマルチキャストが有効にされている場合、マルチキャスト トラフィックは検査され、L2 ブリッジ ペアを介して渡されます。IGMP メッセージングには依存せず、個々のインターフェースでマルチキャスト サポートを有効にする必要はありません。 | 「ネットワーク | システム > マルチキャスト」でマルチキャストが有効にされており、かつ、関連するインターフェースでマルチキャスト サポートが有効になっている場合、マルチキャスト トラフィック (IGMP に依存) は検査され、トランスペアレント モードで渡されます。 |