Сетевой мост

Сетевой мост - это сетевое устройство, предназначенное для объединения сегментов сети передачи данных в единую сеть. Он функционирует на канальном уровне модели OSI, обеспечивая прозрачное прохождение протоколов через него.

Примечание

В системе ARMA Стена функционал протокола STP по умолчанию выключен.

Для создания сетевого моста необходимо выполнить следующие действия:

  1. Для включения функции «STP» следует ввести команду:

set interfaces bridge br0 stp

где «br0» – имя сетевого интерфейса.

  1. Для добавления интерфейсов-участников моста «br0» следует ввести следующие команды:

set interfaces bridge br0 member interface eth0
set interfaces bridge br0 member interface eth1

  1. Для назначения MAC-адреса для моста «br0» следует ввести команду:

set interfaces bridge br0 mac 00:11:11:00:22:22

где «00:11:11:00:22:22» – MAC-адрес.

Основные настройки

  1. Команда создания сетевого моста:

set interfaces bridge <brN>

где <brN> – имя сетевого моста. Оно должно иметь вид «brN», где N представляет собой уникальный идентификатор сетевого моста. Возможно указать идентификатор в диапазоне от «0» до «9999999999999».

  1. Команда добавления сетевого интерфейса в состав сетевого моста:

set interfaces bridge <brN> member interface <member>

где <member> – имя сетевого интерфейса. На сетевом интерфейсе не должно быть настроек конфигурации IP-адреса перед добавлением его в сетевой мост. Поддерживаемые типы сетевых интерфейсов: Ethernet, Bond/Link Aggregation, L2TPv3, OpenVPN, VXLAN, WLAN/WIFI - Wireless LAN, Tunnel, GENEVE.

Примечание

Один и тот же сетевой интерфейс может быть участником только одного сетевого моста.

Примечание

Нельзя назначить сетевой интерфейс на сетевой мост, если данный интерфейс настроен на зеркалирование трафика на этот сетевой мост.

Примечание

При изменении участников сетевого моста с включённой поддержкой VLAN не допускается указывать интерфейсы, которые имеют дочерние VLAN.

  1. Установить приоритет для сетевого интерфейса, который входит в состав сетевого моста:

set interfaces bridge <brN> member interface <member> priority <priority>

где <priority> – значение приоритета для интерфейса, входящего в состав сетевого моста. Возможно указать значение в диапазоне от «1» до «63».

  1. Установить стоимость для сетевого интерфейса, который входит в состав сетевого моста:

set interfaces bridge <brN> member interface <member> cost <cost>

где <cost> – стоимость пути для интерфейса, входящего в состав сетевого моста. Более быстрый интерфейс должен иметь меньшую стоимость. Возможно указать значение в диапазоне от «1» до «65535». Значение по умолчанию для стоимости пути рассчитывается исходя из пропускной способности канала (см. Таблица «Соответствия пропускной способности и назначаемой по умолчанию стоимости пути»).

Каждый интерфейс в мосту может иметь различную скорость передачи данных, и это значение учитывается при выборе канала связи.

Таблица «Соответствия пропускной способности и назначаемой по умолчанию стоимости пути»

Пропускная способность канала

Стоимость пути протокола STP для интерфейса

4 Mbit/s

250

10 Mbit/s

100

16 Mbit/s

62

100 Mbit/s

19

1 Gbit/s

4

2 Gbit/s

3

10 Gbit/s

2

  1. Команда назначения адреса для сетевого моста:

set interfaces bridge <brN> address <address | dhcp | dhcpv6>

где <address | dhcp | dhcpv6> – адрес сетевого моста. Возможно указать: IPv4-адрес - <x.x.x.x/x>, IPv6-адрес - <h:h:h:h:h:h:h:h/x>, dhcp или dhcpv6.

  1. Команда добавления описания для сетевого моста:

set interfaces bridge <brN> description <description>

где <description> – мнемоническое имя или описание для сетевого моста.

  1. Команда отключения сетевого моста с сохранением настройки:

set interfaces bridge <brN> disable

Интерфейс будет переведён в состояние административно отключённого режима (A/D).

  1. Команда отключения генерации управления потоком Ethernet:

set interfaces bridge <brN> disable-flow-control

  1. Команда настройки сетевого интерфейса таким образом, чтобы он не обнаруживал изменений физического состояния канала связи, например, при отсоединении кабеля:

set interfaces bridge <brN> disable-link-detect

По умолчанию сетевые интерфейсы настроены на обнаружение изменения физического состояния канала.

  1. Команда назначения MAC-адреса для сетевого моста:

set interfaces bridge <brN> mac <xx:xx:xx:xx:xx:xx>

где <xx:xx:xx:xx:xx:xx> – пользовательский MAC-адрес сетевого моста.

  1. Команда для установки размера MTU для сетевого моста:

set interfaces bridge <brN> mtu <mtu>

где <mtu> – размер MTU в байтах. Возможно указать значение в диапазоне от «1280» до «16000». По умолчанию используется значение «1500».

  1. Команда для установки значения TCP MSS для сетевого моста:

set interfaces bridge <brN> ip|ipv6 adjust-mss <mss | clamp-mss-to-pmtu>

где <mss | clamp-mss-to-pmtu> – значение TCP MSS. Возможно указать значение в диапазоне от «536» до «65535» или <clamp-mss-to-pmtu> - для автоматической установки правильного значения MSS.

В связи с тем, что обнаружение PMTU в сети интернет не всегда работает корректно, иногда требуется установить значение TCP MSS в соответствии с определёнными параметрами. Это значение указывается в поле «MSS» в части параметров TCP пакета SYN. Установив значение MSS, система сообщает удалённой стороне, что не принимает пакеты размером больше этого значения. Значение MSS возможно рассчитать по формуле: MSS = MTU — 20 — (заголовок IP) — 20 (заголовок TCP), где MTU — максимальный размер кадра. В результате получается значение 1452 байта для MTU 1492 байта.

  1. Команда установки тайм-аута записи в ARP-кэш для сетевого моста:

set interfaces bridge <brN> ip arp-cache-timeout <1-86400>

где <1-86400> – тайм-аут записи в ARP-кэш в секундах. Возможно указать значение в диапазоне от «1» до «86400». По умолчанию используется значение «30».

  1. Команда отключения фильтрации ARP на сетевом мосту:

set interfaces bridge <brN> ip disable-arp-filter

Если этот параметр активирован, то ядро может отвечать на запросы ARP, используя адреса с других интерфейсов. По умолчанию этот параметр деактивирован. Это позволяет иметь несколько сетевых интерфейсов в одной подсети, и ответ на ARP-запросы каждого интерфейса зависит от того, будет ли ядро маршрутизировать пакет с ARP-адресом через этот интерфейс. Для работы этой функции необходимо использовать маршрутизацию на основе источника.

  1. Команда настройки поведения хоста/маршрутизатора для сетевого моста:

set interfaces bridge <brN> ip|ipv6 disable-forwarding

Интерфейс будет переведён в режим хоста, при этом переадресация IPv6 в данном интерфейсе будет отключена.

  1. Команда установки различных режимов широковещательной переадресации IP-пакетов для сетевого моста:

set interfaces bridge <brN> ip enable-directed-broadcast

В случае активации данного параметра, пакеты направленной широковещательной рассылки IP, поступающие на указанный интерфейс, будут пересылаться. Если параметр не активирован (по умолчанию), пакеты направленной широковещательной рассылки IP не будут пересылаться.

  1. Команда включения приёма ARP пакетов на сетевом мосту:

set interfaces bridge <brN> ip enable-arp-accept

Определяет поведение для ARP-пакетов, IP-адреса которых ещё не присутствуют в ARP-таблице. Если данная настройка включена, то создаются новые записи в ARP-таблице. Как ответы, так и запросы типа gratuitous ARP будут вызывать обновление ARP-таблицы, если данная настройка включена. Если в ARP-таблице уже содержится IP-адрес кадра gratuitous ARP, то ARP-таблица будет обновлена независимо от того, включена или выключена данная настройка.

  1. Команда включения анонсирования ARP пакетов на сетевом мосту:

set interfaces bridge <brN> ip enable-arp-announce

В случае настройки рекомендуется избегать использования локальных адресов, не принадлежащих целевой подсети для данного интерфейса. Этот режим полезен, когда целевые хосты, доступные через данный интерфейс, требуют, чтобы IP-адрес источника в ARP-запросах был частью их логической сети, настроенной на принимающем интерфейсе. При формировании запроса система проверяет все свои подсети, включающие целевой IP-адрес, и сохраняет исходный адрес, если он принадлежит такой подсети. В противном случае система выбирает адрес источника в соответствии с правилами для второго уровня.

  1. Команда включения игнорирования ARP пакетов на сетевом мосту:

set interfaces bridge <brN> ip enable-arp-ignore

Данный параметр определяет режимы отправки ответов на полученные ARP-запросы, разрешающие локальные целевые IP-адреса. В случае, если параметр включён, ответ будет отправлен только в том случае, если целевой IP-адрес является локальным и настроен на входящем интерфейсе. Если параметр отключён (по умолчанию), ответ будет получен для любого локального целевого IP-адреса, настроенного на любом интерфейсе.

  1. Команда включения прокси ARP на сетевом мосту:

set interfaces bridge <brN> ip enable-proxy-arp

Прокси ARP позволяет сетевому мосту отвечать собственным MAC-адресом на запросы ARP для IP-адресов назначения, находящихся в подсетях, подключённых к другим интерфейсам системы. Последующие пакеты, отправленные на эти IP-адреса назначения, перенаправляются системой соответствующим образом.

  1. Команда включения прокси ARP частного VLAN на сетевом мосту:

set interfaces bridge <brN> ip proxy-arp-pvlan

  1. Команда включения политики проверки источника по обратному пути:

set interfaces bridge <brN> ip source-validation <strict | loose | disable>

где <strict | loose> - режим проверки источника по обратному пути. Возможно указать следующие значения:

<strict> (строгий режим) - каждый входящий пакет проверяется по FIB, и если интерфейс не является наилучшим обратным путём, то проверка пакета будет неудачной. По умолчанию неудачные пакеты отбрасываются;

<loose> (свободный режим) - адрес источника каждого входящего пакета также проверяется по FIB, и если адрес источника не достижим ни через один интерфейс, проверка пакета будет неудачной;

<disable> - нет проверки источника.

В настоящее время в RFC 3704 рекомендуется использовать строгий режим для предотвращения подмены IP-адресов в результате DDoS-атак. При использовании асимметричной или другой сложной маршрутизации рекомендуется использовать свободный режим.

  1. Команда включения механизма получения IPv6-адреса на сетевом мосту:

set interfaces bridge <brN> ipv6 address autoconf

Примечание

Данный метод автоматически отключает пересылку трафика IPv6 на сетевом мосту.

  1. Команда назначения уникального 64-битного IPv6-адреса на основе MAC адреса:

set interfaces bridge <brN> ipv6 address eui64 <prefix>

где <prefix> - IPv6-адрес в формате <h:h:h:h:h:h:h:h/64>.

  1. Команда отключения назначения локального IPv6-адреса по умолчанию для сетевого моста:

set interfaces bridge <brN> ipv6 address no-default-link-local

  1. Команда настройки функции Duplicate Address Detection (DAD) для сетевого моста:

set interfaces bridge <brN> ipv6 accept-dad <0-2>

где <0-2> - режим работы DAD. Возможно указать следующие значения: «0» - отключить DAD, «1» - включить DAD, «2» - включить DAD и отключить работу IPv6, если обнаружен дублированный MAC-адрес link-local. По умолчанию используется режим «1».

  1. Команда настройки сообщений NS для отправки при выполнении DAD:

set interfaces bridge <brN> ipv6 dup-addr-detect-transmits <n>

где <n> - количество сообщений NS для отправки при выполнении DAD. Возможно указать следующие значения: «0» - отключение обнаружения дубликатов адресов (DAD), «1-n». По умолчанию используется значение «1».

  1. Команда размещения сетевого моста в VRF:

set interfaces bridge <brN> vrf <vrf>

где <vrf> - имя VRF.

Настройка DHCP(v6)

  1. Команда определения идентификатора для DHCP-сервера:

set interfaces bridge <brN> dhcp-options client-id <description>

Определяет идентификатор, который будет использоваться системой для идентификации себя на DHCP-сервере. В случае предоставления пользователем идентификатора, он должен использовать его во всех последующих сообщениях. Сервер, в свою очередь, должен использовать этот идентификатор для идентификации пользователя.

  1. Команда для изменения системного имени системы (hostname), передаваемое DHCP-серверу:

set interfaces bridge <brN> dhcp-options host-name <hostname>

где <hostname> - новое имя системы.

  1. Команда запроса определённого класса параметров поставщика DHCP-сервера:

set interfaces bridge <brN> dhcp-options vendor-class-id <vendor-id>

Опцию «vendor-class-id» возможно использовать для запроса у сервера определённого класса опций поставщика.

  1. Команда запроса только адреса у DHCP-сервера:

set interfaces bridge <brN> dhcp-options no-default-route

При активации параметра «no-default-route» у DHCP сервера запрашивается только адрес, но не запрашивается шлюз по умолчанию.

  1. Команда для установки значения расстояния по умолчанию для шлюза, отправляемого DHCP-сервером:

set interfaces bridge <brN> dhcp-options default-route-distance <distance>

где <distance> - расстояние для маршрута по умолчанию от DHCP-сервера. Возможно указать значение в диапазоне от «1» до «255».

  1. Отклонять запросы DHCP с заданного адреса или диапазона адресов:

set interfaces bridge <brN> dhcp-options reject <address>

где <address> - адрес (<x.x.x.x>) и/или диапазон адресов (<x.x.x.x/x>).

  1. Задать уникальный идентификатор DHCP (DUID) для сетевого моста:

set interfaces bridge <brN> dhcpv6-options duid <duid>

где <duid> - уникальный идентификатор DHCP в формате h[[:h]…].

Уникальный идентификатор DHCP (DUID) используется клиентом для получения IP-адреса от сервера DHCPv6. Он состоит из двухбайтового поля типа DUID и поля идентификатора переменной длины до 128 байт. Фактическая длина DUID зависит от типа. Сервер сравнивает DUID с базой данных и предоставляет клиенту необходимые данные (адрес, время аренды, DNS-серверы и т. д.).

  1. Отключить отправку сообщения об освобождении адреса:

set interfaces bridge <brN> dhcpv6-options no-release

Предотвращает отправку сообщения об освобождении при выходе клиента, чтобы сохранить назначенный адрес или префикс.

  1. Включить обмен с серверами только информационными настройками:

set interfaces bridge <brN> dhcpv6-options parameters-only

Параметр «parameters-only» в опции определяет, что DHCPv6 должен обмениваться с серверами только информационными настройками. Примером таких параметров является список адресов DNS-серверов. Этот параметр полезен в случае, когда системе не требуются параметры с сохранением состояния, такие как IPv6-адреса или префиксы.

  1. Включить получение настроек для VLAN-интерфейса от DHCPv6-сервера:

set interfaces bridge <brN> dhcpv6-options rapid-commit

  1. Запросить только временный адрес и не создавать партнёрство IA_NA:

set interfaces bridge <brN> dhcpv6-options temporary

Делегирование префиксов DHCPv6 (PD)

  1. Задать размер делегируемого префикса <length> для экземпляра делегирования префикса <id> на сетевом мосту:

set interfaces bridge <brN> dhcpv6-options pd <id> length <length>

где:

  • <id> - экземпляр префиксного делегирования. Значение должно быть больше или равное «0»;

  • <length> - длина делегированного префикса. Возможно указать значение в диапазоне от «32» до «64». По умолчанию используется значение «64».

Некоторые провайдеры по умолчанию предоставляют префикс /64. Чтобы запросить префикс другого размера, необходимо использовать опцию для запроса большего делегирования для данного экземпляра делегирования префикса <id>. Значение этой опции должно находиться в диапазоне от 32 до 64. Таким образом, можно запросить делегирование префикса от /32 (если это позволяет провайдер) до /64.

  1. Определить адрес интерфейса <address>, используемый локально на интерфейсе <delegatee>, на который был делегирован префикс:

set interfaces bridge <brN> dhcpv6-options pd <id> interface <delegatee> address <address>

  1. Задать значение идентификатора агрегатора уровня сайта SLA <sla-id> на интерфейсе <delegatee>:

set interfaces bridge <brN> dhcpv6-options pd <id> interface <delegatee> sla-id <sla-id>

где <sla-id> - значение идентификатора агрегатора уровня сайта (SLA). Идентификатор должен представлять собой десятичное число больше 0 и соответствовать требованиям к длине идентификаторов SLA.

Пример: если идентификатор (ID) равен 1 и клиенту предоставлен IPv6-префикс 2001:db8:ffff::/48, DHCPv6 объединит эти два значения в один IPv6-префикс, 2001:db8:ffff:1::/64, и настроит этот префикс на указанном интерфейсе.

Настройка параметров сетевого моста

  1. Определить временной интервал, по истечении которого MAC-адрес сетевого моста будет считаться неактуальным:

set interfaces bridge <brN> aging <time>

где <time> - интервал времени хранения, в секундах, по истечении которого MAC-адрес удаляется из таблицы пересылки. Возможно указать значение в диапазоне от «10» до «1000000». По умолчанию используется значение «300». При значении «0» функция MAC-адресного обучения отключается (всегда используется широковещательная передача).

  1. Определить временной промежуток ожидания сетевого моста пакета «hello» от корня связующего дерева:

set interfaces bridge <brN> max-age <time>

где <time> - интервал времени, в секундах, в течение которого сетевой мост ожидает получения пакета «hello» перед перевычислением топологии связующего дерева. Возможно указать значение в диапазоне от «6» до «40». По умолчанию используется значение «20».

  1. Включить IGMP/MLD querier:

set interfaces bridge <brN> igmp querier

  1. Включить IGMP/MLD snooping:

set interfaces bridge <brN> igmp snooping

STP

STP (Spanning Tree Protocol) — это сетевой протокол, который формирует логическую топологию без циклов для сетей Ethernet. Основная задача STP — предотвращение мостовых циклов и связанного с ними широковещательного излучения. Связующее дерево также позволяет включать в схему сети резервные каналы, обеспечивающие бесперебойную работу в случае сбоя активного канала.

Команды настройки STP:

  1. Включить протокол STP на сетевом мосту:

set interfaces bridge <brN> stp

  1. Установить время задержки пересылки для протокола STP:

set interfaces bridge <brN> forwarding-delay <delay>

где <delay> - значение времени задержки пересылки в секундах. Возможно указать значение в диапазоне от «2» до «30». По умолчанию используется значение «15».

Время задержки пересылки — это время, в течение которого устройство находится в состоянии прослушивания и обучения перед переходом в состояние пересылки. Это время необходимо для того, чтобы новое устройство, подключённое к загруженной сети, могло проанализировать трафик перед началом работы.

  1. Установить интервал отправки hello-пакетов для протокола STP:

set interfaces bridge <brN> hello-time <interval>

где <interval> - значение интервала времени в секундах. Возможно указать значение в диапазоне от «1» до «10». По умолчанию используется значение «2».

Корневой мост и назначенные мосты периодически отправляют приветственный пакет, который используется для передачи информации о топологии по всей мостовой локальной сети.

VLAN

В системе ARMA Стена интерфейсы 802.1q представлены в виде виртуальных интерфейсов, которые подчиняются физическому интерфейсу. Для обозначения таких интерфейсов используется термин «vif».

Примечание

Не рекомендуется использовать параметр vif 1 для мостов, поддерживающих VLAN, поскольку такие мосты предполагают, что все немаркированные пакеты принадлежат участнику VLAN 1 по умолчанию, а идентификатор VLAN родительского интерфейса моста всегда равен 1.

Для активации сетевого моста с поддержкой VLAN, необходимо активировать соответствующий параметр, который позволит использовать настройки VLAN для данного моста:

set interfaces bridge <brN> enable-vlan

Примечание

В случае если интерфейсы, участвующие в сетевом мосту, имеют дочерние VLAN-интерфейсы, то функция поддержки VLAN на этом мосту будет недоступна.

Установить тип интерфейса моста:

set interfaces bridge <brN> protocol <802.1ad|802.1q>

где <802.1ad|802.1q> - тип интерфейса моста. Возможно указать следующие значения: «802.1q» или «802.1ad». По умолчанию используется значение «802.1q».

Основные настройки

  1. Создать новый VLAN-интерфейс на сетевом мосту <brN>, используя номер VLAN, указанный через <vlan-id>:

set interfaces bridge <brN> vif <vlan-id>

где <vlan-id> - номер VLAN. Возможно указать значение в диапазоне от «0» до «4094». На одном физическом интерфейсе возможно создать несколько VLAN-интерфейсов.

Примечание

На интерфейсах vif принимаются только пакеты с метками 802.1Q.

  1. Установить адрес для VLAN-интерфейса:

set interfaces bridge <brN> vif <vlan-id> address <address | dhcp | dhcpv6>

где <address | dhcp | dhcpv6> – адрес сетевого моста. Возможно указать: IPv4-адрес - <x.x.x.x/x>, IPv6-адрес - <h:h:h:h:h:h:h:h/x>, dhcp или dhcpv6.

  1. Задать описание для VLAN-интерфейса:

set interfaces bridge <brN> description <description>

где <description> – мнемоническое имя или описание для VLAN-интерфейса.

  1. Команда отключения VLAN-интерфейса с сохранением настройки:

set interfaces bridge <brN> vif <vlan-id> disable

Интерфейс будет переведён в состояние административно отключённого режима (A/D).

  1. Команда настройки VLAN-интерфейса таким образом, чтобы он не обнаруживал изменений физического состояния канала связи, например, при отсоединении кабеля:

set interfaces bridge <brN> vif <vlan-id> disable-link-detect

По умолчанию VLAN-интерфейс настроен на обнаружение изменения физического состояния канала.

  1. Команда назначения MAC-адреса для VLAN-интерфейса:

set interfaces bridge <brN> vif <vlan-id> mac <xx:xx:xx:xx:xx:xx>

где <xx:xx:xx:xx:xx:xx> – пользовательский MAC-адрес VLAN-интерфейса.

  1. Команда для установки размера MTU для VLAN-интерфейса:

set interfaces bridge <brN> vif <vlan-id> mtu <mtu>

где <mtu> – размер MTU в байтах. Возможно указать значение в диапазоне от «68» до «16000».

  1. Команда для установки значения TCP MSS для VLAN-интерфейса:

set interfaces bridge <brN> vif <vlan-id> ip|ipv6 adjust-mss <mss | clamp-mss-to-pmtu>

где <mss | clamp-mss-to-pmtu> – значение TCP MSS. Возможно указать значение в диапазоне от «536» до «65535» или <clamp-mss-to-pmtu> - для автоматической установки правильного значения MSS.

  1. Команда установки тайм-аут записи в ARP-кэш для VLAN-интерфейса:

set interfaces bridge <brN> vif <vlan-id> ip arp-cache-timeout <1-86400>

где <1-86400> – тайм-аут записи в ARP-кэш в секундах. Возможно указать значение в диапазоне от «1» до «86400». По умолчанию используется значение «30».

  1. Команда отключения фильтрации ARP на VLAN-интерфейсе:

set interfaces bridge <brN> vif <vlan-id> ip disable-arp-filter

Если этот параметр активирован, то ядро может отвечать на запросы ARP, используя адреса с других интерфейсов. По умолчанию этот параметр деактивирован. Это позволяет иметь несколько сетевых интерфейсов в одной подсети, и ответ на ARP-адреса каждого интерфейса зависит от того, будет ли ядро маршрутизировать пакет с ARP-адресом через этот интерфейс. Для работы этой функции необходимо использовать маршрутизацию на основе источника.

  1. Команда настройки поведения хоста/маршрутизатора для VLAN-интерфейса:

set interfaces bridge <brN> vif <vlan-id> ip disable-forwarding

Интерфейс будет переведён в режим хоста, при этом переадресация IPv6 в данном интерфейсе будет отключена.

  1. Команда установки различных режимов широковещательной переадресации IP-пакетов для VLAN-интерфейса:

set interfaces bridge <brN> vif <vlan-id> ip enable-directed-broadcast

В случае активации данного параметра, пакеты направленной широковещательной рассылки IP, поступающие на указанный интерфейс, будут пересылаться. Если параметр не активирован (по умолчанию), пакеты направленной широковещательной рассылки IP не будут пересылаться.

  1. Команда включения приёма ARP пакетов на VLAN-интерфейсе:

set interfaces bridge <brN> vif <vlan-id> ip enable-arp-accept

Определяет поведение для ARP-пакетов, IP-адреса которых ещё не присутствуют в ARP-таблице. Если данная настройка включена, то создаются новые записи в ARP-таблице. Как ответы, так и запросы типа gratuitous ARP будут вызывать обновление ARP-таблицы, если данная настройка включена. Если в ARP-таблице уже содержится IP-адрес кадра gratuitous ARP, то ARP-таблица будет обновлена независимо от того, включена или выключена данная настройка.

  1. Команда включения анонсирования ARP пакетов на VLAN-интерфейсе:

set interfaces bridge <brN> vif <vlan-id> ip enable-arp-announce

В случае настройки рекомендуется избегать использования локальных адресов, не принадлежащих целевой подсети для данного интерфейса. Этот режим полезен, когда целевые хосты, доступные через данный интерфейс, требуют, чтобы IP-адрес источника в ARP-запросах был частью их логической сети, настроенной на принимающем интерфейсе. При формировании запроса система проверяет все свои подсети, включающие целевой IP-адрес, и сохраняет исходный адрес, если он принадлежит такой подсети. В противном случае система выбирает адрес источника в соответствии с правилами для второго уровня.

  1. Команда включения игнорирования ARP пакетов на VLAN-интерфейсе:

set interfaces bridge <brN> vif <vlan-id> ip enable-arp-ignore

Данный параметр определяет режимы отправки ответов на полученные ARP-запросы, разрешающие локальные целевые IP-адреса. В случае, если параметр включён, ответ будет отправлен только в том случае, если целевой IP-адрес является локальным и настроен на входящем интерфейсе. Если параметр отключён (по умолчанию), ответ будет получен для любого локального целевого IP-адреса, настроенного на любом интерфейсе.

  1. Команда включения прокси ARP на VLAN-интерфейсе:

set interfaces bridge <brN> vif <vlan-id> ip enable-proxy-arp

Прокси ARP позволяет VLAN-интерфейсу отвечать собственным MAC-адресом на запросы ARP для IP-адресов назначения, находящихся в подсетях, подключённых к другим интерфейсам системы. Последующие пакеты, отправленные на эти IP-адреса назначения, перенаправляются системой соответствующим образом.

  1. Команда включения прокси ARP частного VLAN на VLAN-интерфейсе:

set interfaces bridge <brN> vif <vlan-id> ip proxy-arp-pvlan

Прокси-сервер ARP отвечает на запросы того же интерфейса, от которого был получен запрос ARP. Это сделано для поддержки функций коммутатора (ethernet), таких как RFC 3069, где отдельным портам запрещено взаимодействовать друг с другом, но разрешено взаимодействовать с вышестоящим маршрутизатором. Как описано в RFC 3069, возможно разрешить этим хостам взаимодействовать через вышестоящий маршрутизатор с помощью proxy_arp’ing.

  1. Команда включения политики проверки источника по обратному пути:

set interfaces bridge <brN> vif <vlan-id> ip source-validation <strict | loose | disable>

где <strict | loose> - режим проверки источника по обратному пути. Возможно указать следующие значения:

<strict> (строгий режим) - каждый входящий пакет проверяется по FIB, и если интерфейс не является наилучшим обратным путём, то проверка пакета будет неудачной. По умолчанию неудачные пакеты отбрасываются;

<loose> (свободный режим) - адрес источника каждого входящего пакета также проверяется по FIB, и если адрес источника не достижим ни через один интерфейс, проверка пакета будет неудачной;

<disable> - нет проверки источника.

В настоящее время в RFC 3704 рекомендуется использовать строгий режим для предотвращения подмены IP-адресов в результате DDoS-атак. При использовании асимметричной или другой сложной маршрутизации рекомендуется использовать свободный режим.

  1. Команда включения механизма получения IPv6-адреса на VLAN-интерфейсе:

set interfaces bridge <brN> vif <vlan-id> ipv6 address autoconf

Примечание

Данный метод автоматически отключает пересылку трафика IPv6 на VLAN-интерфейсе.

  1. Команда назначения уникального 64-битного IPv6-адреса на основе MAC адреса:

set interfaces bridge <brN> vif <vlan-id> ipv6 address eui64 <prefix>

где <prefix> - IPv6-адрес в формате <h:h:h:h:h:h:h:h/64>.

  1. Команда отключения назначения локального IPv6-адреса по умолчанию для VLAN-интерфейса:

set interfaces bridge <brN> vif <vlan-id> ipv6 address no-default-link-local

  1. Команда отключения IP переадресации на VLAN-интерфейсе:

set interfaces bridge <brN> vif <vlan-id> ipv6 disable-forwarding

Интерфейс будет переведён в режим хоста, а переадресация IPv6 на данном интерфейсе будет отключена.

  1. Команда настройки функции Duplicate Address Detection (DAD) для VLAN-интерфейса:

set interfaces bridge <brN> vif <vlan-id>  ipv6 accept-dad <0-2>

где <0-2> - режим работы DAD. Возможно указать следующие значения: «0» - отключить DAD, «1» - включить DAD, «2» - включить DAD и отключить работу IPv6, если обнаружен дублированный MAC-адрес link-local. По умолчанию используется режим «1».

  1. Команда настройки сообщений NS для отправки при выполнении DAD:

set interfaces bridge <brN> vif <vlan-id> ipv6 dup-addr-detect-transmits <n>

где <n> - количество сообщений NS для отправки при выполнении DAD. Возможно указать следующие значения: «0» - отключение обнаружения дубликатов адресов (DAD), «1-n». По умолчанию используется значение «1».

  1. Команда размещения VLAN-интерфейса в VRF:

set interfaces bridge <brN> vif <vlan-id> vrf <vrf>

где <vrf> - имя VRF.

  1. Установить собственный флаг идентификатора VLAN для интерфейса:

set interfaces bridge <brN> member interface <member> native-vlan <id>

где:

  • <id> - номер VLAN. Возможно указать значение в диапазоне от «0» до «4094»;

  • <member> - имя интерфейса.

При поступлении пакета данных без тега VLAN на порт, пакет данных будет вынужден получить тег с определённым идентификатором VLAN. При выходе флага идентификатора VLAN из порта, тег идентификатора VLAN будет удалён.

  1. Передавать определённые идентификаторы VLAN через интерфейс участника моста:

set interfaces bridge <brN> member interface <member> allowed-vlan <id>

Это может быть отдельный идентификатор VLAN (<id>) или диапазон идентификаторов VLAN, разделённых дефисом (<idN>-<idM>).

Настройка DHCP(v6)

  1. Команда определения идентификатора для DHCP-сервера:

set interfaces bridge <brN> vif <vlan-id> dhcp-options client-id <description>

Определяет идентификатор, который будет использоваться системой для идентификации себя на DHCP-сервере. В случае предоставления пользователем идентификатора, он должен использовать его во всех последующих сообщениях. Сервер, в свою очередь, должен использовать этот идентификатор для идентификации пользователя.

  1. Команда для изменения системного имени системы (hostname), передаваемое DHCP-серверу:

set interfaces bridge <brN> vif <vlan-id> dhcp-options host-name <hostname>

где <hostname> - новое имя системы.

  1. Команда запроса определённого класса параметров поставщика DHCP-сервера:

set interfaces bridge <brN> vif <vlan-id> dhcp-options vendor-class-id <vendor-id>

Опцию «vendor-class-id» возможно использовать для запроса у сервера определённого класса опций поставщика.

  1. Команда запроса только адреса у DHCP-сервера:

set interfaces bridge <brN> vif <vlan-id> dhcp-options no-default-route

При активации параметра «no-default-route» у DHCP сервера запрашивается только адрес, но не запрашивается шлюз по умолчанию.

  1. Команда для установки значения расстояния по умолчанию для шлюза, отправляемого DHCP-сервером:

set interfaces bridge <brN> vif <vlan-id> dhcp-options default-route-distance <distance>

где <distance> - расстояние для маршрута по умолчанию от DHCP-сервера. Возможно указать значение в диапазоне от «1» до «255».

  1. Отклонять запросы DHCP с заданного адреса или диапазона адресов:

set interfaces bridge <brN> vif <vlan-id> dhcp-options reject <address>

где <address> - адрес (<x.x.x.x>) и/или диапазон адресов (<x.x.x.x/x>).

  1. Задать уникальный идентификатор DHCP (DUID) для сетевого моста:

set interfaces bridge <brN> vif <vlan-id> dhcpv6-options duid <duid>

где <duid> - уникальный идентификатор DHCP в формате h[[:h]…].

Уникальный идентификатор DHCP (DUID) используется клиентом для получения IP-адреса от сервера DHCPv6. Он состоит из двухбайтового поля типа DUID и поля идентификатора переменной длины до 128 байт. Фактическая длина DUID зависит от типа. Сервер сравнивает DUID с базой данных и предоставляет клиенту необходимые данные (адрес, время аренды, DNS-серверы и т. д.).

  1. Отключить отправку сообщения об освобождении адреса:

set interfaces bridge <brN> vif <vlan-id> dhcpv6-options no-release

Предотвращает отправку сообщения об освобождении при выходе клиента, чтобы сохранить назначенный адрес или префикс.

  1. Включить обмен с серверами только информационными настройками:

set interfaces bridge <brN> vif <vlan-id> dhcpv6-options parameters-only

Параметр «parameters-only» в опции определяет, что DHCPv6 должен обмениваться с серверами только информационными настройками. Примером таких параметров является список адресов DNS-серверов. Этот параметр полезен в случае, когда системе не требуются параметры с сохранением состояния, такие как IPv6-адреса или префиксы.

  1. Включить получение настроек для VLAN-интерфейса от DHCPv6-сервера:

set interfaces bridge <brN> vif <vlan-id> dhcpv6-options rapid-commit

  1. Запросить только временный адрес и не создавать партнёрство IA_NA:

set interfaces bridge <brN> vif <vlan-id> dhcpv6-options temporary

Делегирование префиксов DHCPv6 (PD)

  1. Задать размер делегируемого префикса <length> для экземпляра делегирования префикса <id> на сетевом мосту:

set interfaces bridge <brN> vif <vlan-id> dhcpv6-options pd <id> length <length>

где:

  • <id> - экземпляр префиксного делегирования. Значение должно быть больше или равное «0»;

  • <length> - длина делегированного префикса. Возможно указать значение в диапазоне от «32» до «64». По умолчанию используется значение «64».

Некоторые провайдеры по умолчанию предоставляют префикс /64. Чтобы запросить префикс другого размера, необходимо использовать опцию для запроса большего делегирования для данного экземпляра делегирования префикса <id>. Значение этой опции должно находиться в диапазоне от 32 до 64. Таким образом, можно запросить делегирование префикса от /32 (если это позволяет провайдер) до /64.

  1. Определить адрес интерфейса <address>, используемый локально на интерфейсе <delegatee>, на который был делегирован префикс:

set interfaces bridge <brN> vif <vlan-id> dhcpv6-options pd <id> interface <delegatee> address <address>

Адрес интерфейса будет объединён с делегированным префиксом и идентификатором SLA для формирования полного адреса интерфейса. По умолчанию используется адрес EUI-64 интерфейса.

  1. Задать значение идентификатора агрегатора уровня сайта SLA <sla-id> на интерфейсе <delegatee>:

set interfaces bridge <brN> vif <vlan-id> dhcpv6-options pd <id> interface <delegatee> sla-id <id>

где <sla-id> - значение идентификатора агрегатора уровня сайта (SLA). Идентификатор должен представлять собой десятичное число больше 0 и соответствовать требованиям к длине идентификаторов SLA.

Пример: если идентификатор (ID) равен 1 и клиенту предоставлен IPv6-префикс 2001:db8:ffff::/48, DHCPv6 объединит эти два значения в один IPv6-префикс, 2001:db8:ffff:1::/64, и настроит этот префикс на указанном интерфейсе.