ブリッジ モード
ブリッジ モードとは、Firebox を既存のネットワークとそのゲートウェイの間にインストールして、ネットワーク トラフィックをフィルタリングまたは管理することができる機能です。この機能を有効にすると、Firebox は、すべてのネットワーク トラフィックを処理し、他のゲートウェイ デバイスへ転送します。トラフィックが Firebox からゲートウェイへ到達すると、それが元のデバイスから送信されたように見えます。
システムおよび管理 IP アドレス
静的 IP アドレスまたは DHCP を指定することができます。
DHCP を指定する場合、Firebox はお使いのゲートウェイ デバイスで構成されている DHCP サーバーからシステム IP アドレスを取得します。ネットワーク上のコンピュータもこのゲートウェイ デバイスから DHCP アドレスを取得します。Firebox は、DHCP によって割り当てられたこの IP アドレスを使用して セキュリティ サービスの署名の更新を取得し、内部の DNS、NTP、または WebBlocker Server にトラフィックをルーティングします。
DHCP を指定する場合、プライベート IP アドレス範囲で管理 IP アドレスも指定する必要があります。DHCP サーバーが Firebox へのシステム IP アドレスの割り当てに失敗したり、システム IP アドレスが分からない場合は、管理 IP アドレスを使って Firebox に接続することができます。
DNSWatch
Fireware v12.4 以降では、ブリッジ モードで DNSWatch を有効化することができます。Firebox IP アドレスで DNSWatch サーバーに接続できるようになっている必要があります。Firebox システム IP アドレスが、DNSWatch DNS サーバーに送信される DNS 要求パケットの発信元 IP アドレスとなります。
DNSWatch にログインすると、ブリッジ モードの Firebox は以下のように表示されます。
- インターフェイス — グローバル ブリッジ
- ネットワーク — Firebox のシステム IP アドレス
Firebox の DNSWatch 設定で、混合ルーティング モードの Firebox に選択できるものと同じ DNSWatch 実施オプションを選択することができます。
DNSWatch 実施を有効化すると、ローカル ドメインの DNS 転送ルールを作成しない限り、Firebox ではローカル ドメインのホスト名を解決することができません。転送ルールの詳細については、DNS 転送について を参照してください。
DNSWatch の詳細については、次を参照してください:WatchGuard DNSWatch について。
スパニング ツリー
スパニング ツリー プロトコルはブリッジ モードで有効化することができます。スパニング ツリー プロトコルは、スイッチの間に冗長リンクがあるネットワーク上のループを防止するよう設計されています。高可用性を担保することが求められるネットワークの管理者は、スパニング ツリー プロトコルがアップタイムを確実にするように冗長リンクを構成することができます。
スパニング ツリー プロトコルの詳細については、スパニング ツリー プロトコルについて を参照してください。
スパニング ツリー プロトコルを有効にするには、スパニング ツリー プロトコル セクションを参照してください。
無効にされた機能
ブリッジ モードを使用すると、Firebox はゲートウェイとして動作するために必要ないくつかの機能を完了することができなくなります。これは、Firebox はレイヤー 2 またはレイヤー 3 の情報を処理しないためです。
これらの機能には下記が含まれます。
- 複数 WAN
- 仮想ローカル エリア ネットワーク (VLAN)
- ネットワーク ブリッジ
- リンク集約
- 静的ルート
- FireCluster
- セカンダリ ネットワーク
- DHCP サーバーまたは DHCP 中継
- モデムへのフェールオーバー
- 1-to-1 NAT、動的 NAT、または静的 NAT (SNAT)
- 動的ルート (OSPF、BGP、または RIP)
- Firebox が endpoint またはゲートウェイとして使用されるすべての種類の VPN
- HTTP Web Cache Server を含むプロキシ機能
- 認証自動リダイレクト
- Gateway Wireless Controller による AP デバイスの管理
- モバイル セキュリティ
- ネットワーク検出
ブリッジ モードへ切り替えると、以前構成した機能またはサービスが無効になります。再度、この機能またはサービスを使用するには、別のネットワーク モードを使用する必要があります。ドロップインまたは混合ルーティング モードに戻ると、これらの機能を再構成する必要があります。
その他の情報
ブリッジ モードを有効化すると、Firebox により、インターフェイス 0 に構成されている既定のゲートウェイの関連ホスト エントリが自動的に追加されます。既定のゲートウェイ IP アドレスが異なるインターフェイス上にある場合は、関連ホスト エントリを正しいインターフェイスに変更する必要があります。
関連ホストの詳細については、関連ホストを構成する を参照してください。
DNSWatch 実施が有効化されているブリッジ モードの場合は、Firebox ではローカル DNS サーバーを解決することができません。DNSWatch を有効化する場合は、ローカル ドメインの DNS 転送ルールを作成する必要があります。転送ルールの設定の詳細については、DNS 転送について を参照してください。
ブリッジ モードを有効にする場合、以前構成したネットワークまたは VLAN のインターフェイスが無効になります。それらのインターフェイスを使用するには、初めにドロップインまたは混合ルーティング モードに切り替えて、インターフェイスを外部、任意、または信頼済みとして構成して、ブリッジ モードへ戻します。ワイヤレス Firebox のワイヤレス機能は、ブリッジ モードで正常に動作します。
ブリッジ モードの XTM デバイス の LCD ディスプレイには、ブリッジされたインターフェイスの IP アドレスが 0.0.0.0 として表示されます。上記の動作となるはずです。
ESXi において、FireboxV または XTMv 仮想マシンでネットワーク ブリッジを使用するには、VMware で接続した仮想スイッチ (vSwitch) で無差別モードを有効化する必要があります。Hyper-V 仮想スイッチは無差別モードをサポートしていないため、Hyper-V 上の FireboxV または XTMv 仮想マシンではネットワーク ブリッジを使用することはできません。
ブリッジ モードの有効化 (静的 IP)
- ネットワーク > インターフェイス の順に選択します。
ネットワーク インターフェイス ページが表示されます。 - 構成するインターフェィス ドロップダウン リストから、ブリッジ モード を選択します。
- インターフェイスを無効にすることを要求する画面が表示された場合、インターフェイスを無効にするには はい をクリックします。または、以前の構成に戻すには いいえ をクリックします。
- 構成 をクリックします。
- 静的 IP を選択します。
- IP アドレス テキスト ボックスに、Firebox の IP アドレスをスラッシュ表記で入力します。
スラッシュ表記の詳細については、次を参照してください: スラッシュ表記法について。 - ゲートウェイ テキスト ボックスに、そのデバイスからすべてのネットワーク トラフィックを受信するゲートウェイ IP アドレスを入力します。
- 保存 をクリックします。
- ネットワーク > 構成 の順に選択します。
ネットワーク構成 ウィンドウが表示されます。 - 構成するインターフェィス ドロップダウン リストから、ブリッジ モード を選択します。
- インターフェイスを無効にすることを要求する画面が表示された場合、インターフェイスを無効にするには はい をクリックします。または、以前の構成に戻すには いいえ をクリックします。
- 構成 をクリックします
ブリッジ モードのプロパティ ウィンドウが表示されます。 - 静的 IP の使用 を選択します。
- IP アドレス テキスト ボックスに、Firebox の IP アドレスをスラッシュ表記で入力します。
スラッシュ表記の詳細については、スラッシュ表記について を参照してください。 - 既定 ゲートウェイ テキスト ボックスに、そのデバイスからすべてのネットワーク トラフィックを受信するゲートウェイ IP アドレスを入力します。
- OK をクリックします。
ブリッジ モードの有効化 (DHCP)
このセクションに記載した構成の変更を保存する前に、後に Firebox に接続することができるように、必ず管理 IP アドレスを記録しておいてください。
- ネットワーク > インターフェイス の順に選択します。
[インターフェイス] ページが表示されます。 - 構成するインターフェィス ドロップダウン リストから、ブリッジ モード を選択します。
- インターフェイスを無効にすることを要求する画面が表示された場合、インターフェイスを無効にするには はい をクリックします。または、以前の構成に戻すには いいえ をクリックします。
- 構成 をクリックします
ブリッジ モードのプロパティ ウィンドウが表示されます。 - 構成モード ドロップダウン リストから、DHCP を選択します。
- 管理アドレス セクションの IP アドレス テキスト ボックスに、プライベート IP アドレス範囲の IP アドレスを入力します。ヒント!
- 戻る をクリックします。
- 保存 をクリックします。続行するには新しい管理 IP アドレスを使って Firebox にログインする必要がある旨のダイアログ ボックスが表示されます。
- はい をクリックして続行します。
- Firebox にログインするには、DHCP によって割り当てられたシステム IP アドレスを入力するか、自分で指定した管理 IP アドレスを入力します。
- ネットワーク > 構成 の順に選択します。
ネットワーク構成 ウィンドウが表示されます。 - 構成するインターフェィス ドロップダウン リストから、ブリッジ モード を選択します。
- インターフェイスを無効にすることを要求する画面が表示された場合、インターフェイスを無効にするには はい をクリックします。または、以前の構成に戻すには いいえ をクリックします。
- 構成 をクリックします。
ブリッジ モードのプロパティ ウィンドウが表示されます。 - DHCP クライアントを使用する を選択します。
- ホスト IP では、既定のオプションである IP アドレスを自動的に取得する を選択されたままにします。
- 管理アドレス セクションの IP アドレス テキスト ボックスに、プライベート範囲の IP アドレスを入力します。ヒント!
- OK をクリックします。
- 構成を保存した後に Firebox にログインするには、DHCP によって割り当てられたシステム IP アドレスを入力するか、自分で指定した管理 IP アドレスを入力します。
ブリッジ モードを有効化すると、Firebox により、インターフェイス 0 に構成されている既定のゲートウェイの関連ホスト エントリが自動的に追加されます。自動ホスト マッピングは、ほとんどのネットワークで機能します。既定のゲートウェイ IP アドレスが異なるインターフェイス上にある場合は、関連ホスト エントリを正しいインターフェイスに変更する必要があります。
スパニング ツリー プロトコルを有効化する
スパニング ツリー プロトコルを有効化することができます。既定のスパニング ツリー プロトコル設定を変更するには、Fireware Command Line Interface (CLI) を使用する必要があります。既定のスパニング ツリー プロトコル設定の詳細については、CLI でスパニング ツリー プロトコルの設定を構成する を参照してください。
Web UI でスパニング ツリー プロトコルを有効にするには、以下の手順を実行します:
- ネットワーク > インターフェイス の順に選択します。
新しい構成ページが表示されます。 - ブリッジ プロトコル を選択します。
- スパニング ツリー プロトコルを有効化する を選択します。
- OK をクリックします。
Policy Manager でスパニング ツリー プロトコルを有効にするには、次の手順に従います:
- ネットワーク > 構成 の順に選択します。
ネットワーク構成 ウィンドウが表示されます。 - ブリッジ プロトコル を選択します。
- スパニング ツリー プロトコルを有効化する を選択します。
- OK をクリックします。
VLAN から管理アクセスを許可する
ブリッジ モードで Firebox を構成する場合は、Firebox で VLAN を構成することはできません。ただし、Firebox は、802.1Q ブリッジまたはスイッチ間で VLAN タグ付きトラフィックを通過させることができます。指定された VLAN タグを持つ VLAN から管理されるように、Firebox を任意で構成することができます。
ブリッジ モードのデバイスに対して VLAN からの管理を有効にするには、Fireware Web UI から以下の手順を実行します:
- ネットワーク > インターフェイス の順に選択します。
ネットワーク インターフェイス ページが表示されます。 - 管理アクセスのために VLAN タグを許可する チェックボックスを選択します。
- 管理アクセスのために、デバイスへの接続を許可する VLAN ID を入力または選択します。
ブリッジ モードのデバイスに対して VLAN からの管理を有効にするには、Policy Manager から以下の手順を実行します:
-
をクリックします。
または、ネットワーク > 構成 の順に選択します。
ネットワーク構成 ウィンドウが表示されます。 - 管理アクセスのために VLAN タグを許可する チェックボックスを選択します。
- 管理アクセスのために、デバイスへの接続を許可する VLAN ID を入力または選択します。