Written by Steve Peterson <steve@zpfe.com>.
IP サブネットを作成し、 それらのセグメントをルータを 使って接続したりせずに、 (Ethernet セグメントのような) 物理ネットワークを二つのネットワークセグメントに分割することは とても有効な場合があります。 このような二つのネットワークを繋ぐデバイスはブリッジと呼ばれます。 そして、 二つのネットワークインタフェイスカードを持つ FreeBSD システムは、 ブリッジとして動作することができます。
ブリッジは、 各ネットワークインタフェイスに繋がる デバイスの MAC 層のアドレス (例えば Ethernet アドレス) を記憶します。 ブリッジはトラフィックの送信元と受信先が異なったネットワーク上に ある場合にのみ、 トラフィックを転送します。
すなわち、 ブリッジはポート数の少ない Ethernet スイッチ だ、 ということができます。
今日ブリッジが活躍する場面は大きく分けて二つあります。
ひとつは、 物理ネットワークセグメントがトラフィック 過剰になっているが、 なんらかの理由によりネットワークを サブネットに分け、 ルータで接続することができない場合です。
編集部門と製作部門がおなじサブネットに同居している 新聞社を例に考えてみましょう。 編集部門のユーザはファイルサーバとして全員サーバ A を利用し、 製作部門のユーザはサーバ B を利用します。 すべてのユーザを接続するのには Ethernet が使われており、 高負荷となったネットワークは遅くなってしまいます。
もし編集部門のユーザを一つのネットワークセグメントに 分離することができ、 製作部門もユーザも同様にできるのなら、 二つのネットワークセグメントをブリッジで繋ぐことができます。 ブリッジの "反対" 側へ向かうネットワークトラフィックだけが 転送され、 各ネットワークセグメントの混雑は緩和されます。
もうひとつは、 IP Masquerading (NAT) を使わずに ファイアウォール機能を利用したい場合です。
ここでは DSL もしくは ISDN で ISP に接続している 小さな会社を例にとってみましょう。 この会社は ISP から 13 個のグローバル IP アドレスの割り当て を受けており、 ネットワーク内には 10 台の PC が存在します。 このような状況では、 サブネット化にまつわる問題から ルータを用いたファイアウォールを利用することは困難です。
ブリッジを用いたファイアウォールなら、 IP アドレスの問題を気にすること無く、 DSL/ISDN ルータの 下流側に置くように設定できます。
ブリッジを利用するには少なくとも二つのネットワークカードが 必要です。 残念なことに、 FreeBSD 4.0 ではすべてのネットワークインタフェイス カードがブリッジ機能をサポートしているわけではありません。 カードがサポートされているかどうかについては bridge(4) を参照してください。
以下に進む前に、 二つのネットワークカードをインストールして テストしてください。
カーネルでブリッジ機能を有効にするには
options BRIDGE
という行をカーネルコンフィグレーションファイルに追加して カーネルを再構築してください。
ブリッジと同時にファイアウォール機能も利用しようとしている 場合には、 IPFIREWALL オプションも指定する必要があります。 ブリッジをファイアウォールとして設定する際の一般的な 情報に関しては、 Section 14.7 を参照してください。
IP 以外のパケット (ARP など) がブリッジを通過するように するためには、 ドキュメント化されていないファイアウォール用 オプションを設定する必要があります。 このオプションは IPFIREWALL_DEFAULT_TO_ACCEPT です。 この変更により、 デフォルトではファイアウォールがすべての パケットを accept するようになることに注意してください。 この設定を行う前に、 この変更が自分のルールセットにどのような 影響をおよぼすかを把握しておかなければなりません。
ブリッジで帯域制御機能を利用したい場合、 カーネルコンフィグレーションで DUMMYNET オプションを加える必要があります。 詳しい情報に関しては dummynet(4) を参照 してください。
ブリッジを有効にするには、 /etc/sysctl.conf に以下の行を加えてください:
net.link.ether.bridge=1
ブリッジを経由したパケットを ipfw でフィルタしたい場合には、
net.link.ether.bridge_ipfw=1
という行も付け加える必要があります。
私のブリッジ/ファイアウォールは Pentium 90 で、 3Com 3C900B と 3c905B を使っています。 防護される側のネットワークは 10Mbps の half duplex で、 ブリッジとルータ (Cisco 675) の間は 100Mbps full duplex で 動作しています。 パケットフィルタを利用しない場合、 防護されている 10Mbps ネットワークから Cisco 675 への ping では、 ブリッジにより 0.4 ミリ秒の遅延が発生しています。
ネットワークからブリッジに telnet したい場合、 ネットワークカードの一つに IP アドレスを割り当てれば OK です。 一般的に、 両方のカードに IP アドレスを割り当てるのは よいアイデアではないとされています。
ネットワーク内に複数のブリッジを設置する場合、 任意のワークステーション間で一つ以上の経路を持つことは できません。 技術的には、 これは spanning tree link management はサポートされていない、 ということを意味します。