Интерфейсы Bridge являются виртуальными сетевыми интерфейсами, которые объединяют несколько физических сетевых интерфейсов для выполнения функций коммутатора (физические интерфейсы, добавленные в коммутатор, становятся портами коммутатора).
Примечание. Запрещено добавлять в один Bridge интерфейс физические интерфейсы, входящие в разные группы – доверенные и недоверенные (например, запрещено одновременно добавлять интерфейсы из LAN и WAN сегментов), так как физические интерфейсы, добавленные в Bridge, становятся неконтролируемыми с точки зрения СКЗИ и МЭ. Соответственно, политику СКЗИ и правила МЭ нужно применять на виртуальном Bridge интерфейсе, который является логическим объединением физических интерфейсов.
Bridge интерфейсы описываются в файлах /etc/network/interfaces.d/bridgeN.
Примечание. Cisco-like консоль не поддерживает изменение сетевых параметров (MTU/IP адрес/состояние) для Bridge интерфейсов.
Рассмотрим пример создания программного коммутатора bridge0 на основе физических интерфейсов eth1/eth2:
Примечание. Если в файле /etc/network/interfaces или в файлах директории /etc/network/interfaces.d/ присутствуют строки с настройками для интерфейсов eth1 и eth2, то необходимо их удалить (изменять файл /etc/ifaliases.cf относительно данных интерфейсов не нужно).
1. Отредактируйте файл /etc/network/interfaces.d/bridge0, добавив в него описание для Bridge интерфейса, например:
root@sterragate:~# cat /etc/network/interfaces.d/bridge0
auto bridge0
iface bridge0 inet static
address 192.168.1.2
netmask 255.255.255.0
mtu 1500
bridge_ports eth1 eth2
pre-up ip link set dev eth1 mtu 1500
pre-up ip link set dev eth2 mtu 1500
· address <IP адрес> – IP адрес логического интерфейса bridge0;
· netmask <маска> – сетевая маска для IP адрес логического интерфейса bridge0;
· mtu <значение> – параметр для задания MTU интерфейса bridge0; значение по умолчанию – 1500; при изменении MTU интерфейса bridge0 значение MTU физических интерфейсов eth1 и eth2 не меняется;
· bridge_ports <интерфейсы> – имена физических интерфейсов, входящих в коммутатор;
· pre-up ip link set dev ethN mtu <значение> - выставление MTU для физических интерфейсов.
2. Чтобы Bridge интерфейс bridge0 появился в системе, выполните команду ifup bridge0, после чего убедитесь, что данный интерфейс действительно доступен в системе, и он выступает коммутатором, а интерфейсы eth1/eth2 добавлены в bridge0:
root@sterragate:~# ifup bridge0
root@sterragate:~# ip address show bridge0
26: bridge0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
link/ether 00:50:56:9e:bf:69 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.2/24 brd 192.168.1.255 scope global bridge0
root@sterragate:~# brctl show bridge0
bridge name bridge id STP enabled interfaces
bridge0 8000.0050569ebf69 no eth1
eth2
root@sterragate:~# ip address show eth1
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge0 state UNKNOWN qlen 1000
link/ether 00:50:56:9e:bf:69 brd ff:ff:ff:ff:ff:ff
root@sterragate:~# ip address show eth2
4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master bridge0 state UNKNOWN qlen 1000
link/ether 00:50:56:9e:f5:ec brd ff:ff:ff:ff:ff:ff
Видно, что Bridge интерфейс bridge0 присутствует в системе и сконфигурирован, а также интерфейсы eth1/eth2 добавлены в bridge0. Расширенную информацию о bridge0 можно посмотреть при помощи утилиты brctl.
3. Добавьте Bridge интерфейс bridge0 в файл /etc/ifaliases.cf:
root@sterragate:~# cat /etc/ifaliases.cf
interface (name="GigabitEthernet0/0" pattern="eth0")
interface (name="GigabitEthernet0/1" pattern="eth1")
interface (name="GigabitEthernet0/2" pattern="eth2")
interface (name="Bridge0" pattern="bridge0")
interface (name="default" pattern="*")
· значение параметра name должно быть задано в виде BridgeN.
· значение параметра pattern должно соответствовать имени Bridge интерфейса в нотации Linux.
4. Пересчитайте контрольную сумму файлa /etc/ifaliases.cf:
root@sterragate:~# integr_mgr calc -f /etc/ifaliases.cf
SUCCESS: Operation was successful.
5. Перезапустите VPN сервис:
root@sterragate:~# service vpngate restart
Теперь для интерфейса Bridge0 можно задать политику СКЗИ и правила МЭ посредством cisco-like консоли или LSP, также настроить его средствами ОС.