SonicOS 7 システム --- TZ シリーズ用
Table of Contents
L2 ブリッジ パスの決定
装置がブリッジ ペア インターフェースで受信したパケットは、適切かつ最適なパスに沿って送信先へと転送されなければなりません。そのパスはブリッジ パートナーである場合もあれば、その他の物理インターフェース (またはサブインターフェース) である場合もあります。あるいは VPN トンネルである場合も考えられます。同様に、ブリッジ ペア上の特定のホスト宛てに、他のパス (物理、仮想、または VPN) から到達したパケットは、適切なブリッジ ペア インターフェースを介して送出される必要があります。
以下は、こうした状況下で、パス決定に適用されるロジックを順に説明したものです。
-
送信先に対して、既定以外の最も限定的なルートが存在する場合は、そのルートが選択されます。例えば、次のようなケースが該当します。
- ホスト
15.1.1.100サブネット宛てのパケットが X3 (非 L2 ブリッジ LAN) に到達した。ここで、15.1.1.0/24サブネットへのルートが、X0 (セカンダリ ブリッジ インターフェース、LAN) インターフェースを介し、192.168.0.254を経由したパスに存在する。この場合、パケットは、X0 を介して、送信先IP アドレス15.1.1.100を持つ、192.168.0.254の送信先 MAC アドレスに転送されます。 - ホスト
10.0.1.100宛てのパケットが X4 (プライマリ ブリッジ インターフェース、LAN) に到達した。ここで、10.0.1.0/24へのルートが、X5 (DMZ)インターフェースを介し、192.168.10.50を経由したパスに存在する。この場合、パケットは、X5 を介して、送信先IP アドレス10.0.1.100を持つ、192.168.10.50の送信先 MAC アドレスに転送されます。
- ホスト
-
送信先への特定のルートが存在しない場合は、送信先 IP アドレスを調べるために、ARP キャッシュ調査が実行されます。キャッシュ エントリと比較した結果、一致が見つかった場合、適切な送信先インターフェースが判明します。例えば、次のようなケースが該当します。
- ホスト
192.168.0.100(L2プライマリ ブリッジ インターフェース X2 上に存在) 宛てのパケットが X3 (非 L2 ブリッジ LAN) に到着した。この場合、パケットは X2 を介し、ARP キャッシュから取得された既知の送信先 MAC および IP アドレス (192.168.0.100) に転送されます。 - X5 (DMZ) 上のホスト
10.0.1.10宛てのパケットが、X4 (プライマリ ブリッジ インターフェース、LAN) に到着した。この場合、パケットは X5 を介し、ARP キャッシュから取得された既知の送信先 MAC および IP アドレス (10.0.1.10) に転送されます。
- ホスト
-
ARP エントリが見つからない場合は、次の処理が行われます。
- パケットがブリッジ ペア インターフェースに到着した場合、そのパケットはブリッジ パートナー インターフェースに送信されます。
- パケットが他のパスから到着する場合、装置が、ブリッジ ペアの両方のインターフェースに ARP 要求を送出して、送信先 IP が存在するセグメントを特定します。
最後のケースでは、ARP 応答を受信するまでは送信先が不明であるため、それまでは送信先ゾーンも判明しません。したがって、パスが決定するまで、装置は適切なアクセス ルールを適用できません。パスが決定された時点で、後続の関連するトラフィックに対して適切なアクセス ルールが適用されます。
L2 ブリッジ ペア インターフェースに到着したトラフィックのアドレス変換 (NAT) については、確定している送出先に応じて次のように処理されます。
- ブリッジ パートナー インターフェースの場合、IP 変換 (NAT) は実行されません。
-
異なるパスの場合は、そのパスに応じて適切な NAT ポリシーが適用されます。
- パスが別の接続 (ローカル) インターフェースである場合、変換が実行される可能性は低くなります。つまり、事実上、最終的な措置として、「すべて > 元の NAT ポリシー」に従ってルーティングされます。
- パスが WAN を経由することが確定している場合、既定の「自動追加された [インターフェース] 発信 NAT ポリシー - X1 WAN」が適用され、インターネットへの配信のためにパケットの送信元が変換されます。これは、「内部セキュリティ」で説明しているような混在モード トポロジの場合によく見られます。
